Python 為什麼說 Eval 要慎用?使用 Eval 帶來的潛在風險?什麼情況下使用 Eval?

發表於2017-10-25

eval前言

當記憶體中的內建模組含有os的話,eval同樣可以做到命令執行:

當然,eval只能執行Python的表示式型別的程式碼,不能直接用它進行import操作,但exec可以。如果非要使用eval進行import,則使用__import__:

在實際的程式碼中,往往有使用客戶端資料帶入eval中執行的需求。比如動態模組的引入,舉個栗子,一個線上爬蟲平臺上爬蟲可能有多個並且位於不同的模組中,伺服器端但往往只需要呼叫使用者在客戶端選擇的爬蟲型別,並通過後端的exec或者eval進行動態呼叫,後端編碼實現非常方便。但如果對使用者的請求處理不恰當,就會造成嚴重的安全漏洞。

安全”使用eval

現在提倡最多的就是使用eval的後兩個引數來設定函式的白名單:

Eval函式的宣告為eval(expression[, globals[, locals]])

其中,第二三個引數分別指定能夠在eval中使用的函式等,如果不指定,預設為globals()和locals()函式中 包含的模組和函式。

如果指定只允許呼叫abs函式,可以使用下面的寫法:

使用這種方法來防護,確實可以起到一定的作用,但是,這種處理方法可能會被繞過,從而造成其他問題!

繞過執行程式碼1

被繞過的情景如下,小明知道了eval會帶來一定的安全風險,所以使用如下的手段去防止eval執行任意程式碼:

Python中的__builtins__是內建模組,用來設定內建函式的模組。比如熟悉的abs,open等內建函式,都是在該模組中以字典的方式儲存的,下面兩種寫法是等價的:

我們也可以自定義內建函式,並像使用Python中的內建函式一樣使用它們:

小明將eval函式的作用域中的內建模組設定為None,好像看起來很徹底了,但依然可以被繞過。__builtins__是__builtin__的一個引用,在__main__模組下,兩者是等價的:

根據烏雲drops提到的方法,使用如下程式碼即可:

上面的程式碼首先利用__class__和__subclasses__動態載入了object物件,這是因為eval中無法直接使用object。然後使用object的子類的zipimporter對egg壓縮檔案中的configobj模組進行匯入,並呼叫其內建模組中的os模組從而實現命令執行,當然,前提是要有configobj的egg檔案。 configobj模組很有意思,居然內建了os模組:

和configobj類似的模組如urllib,urllib2,setuptools等都有os的內建,理論上使用哪個都行。 如果無法下載egg壓縮檔案,可以下載帶有setup.py的資料夾,加入:

然後執行:

就可以在dist資料夾中找到對應的egg檔案。 繞過demo如下:

拒絕服務攻擊1

object的子類中有很多有趣的東西,執行以下程式碼檢視:

這裡我就不輸出結果了,如果你執行的話,可以看到很多有趣的模組,比如file,zipimporter,Quitter等。經過測試,file的建構函式是被直譯器沙箱隔離的。 簡單的,或者直接使object暴露出的子類Quitter進行退出:

C:/>
如果運氣好,遇到對方程式中匯入了os等敏感模組,那麼Popen就可以用,並且繞過__builins__為空的限制,例子如下:

事實上,這種情況非常多,比如匯入os模組,一般用來處理路徑問題。所以說,遇到這種情況,完全可以列舉大量的功能函式,來探測目標object的子類中是否含有一些危險的函式可以直接使用。

拒絕服務攻擊2

同樣,我們甚至可以繞過__builtins__為None,造成一次拒絕服務攻擊,Payload(來自老外blog)如下:

執行上面的程式碼,Python直接crash掉了,造成拒絕服務攻擊。 原理是通過巢狀的lambda來構造一片程式碼段,即code物件。為這個code物件分配空的棧,並給出相應的程式碼字串,這裡是KABOOM,在空棧上執行程式碼,會出現crash。構造完成後,呼叫fc函式即可觸發,其思路不可謂不淫蕩。

總結

從上面的內容我們可以看出,單單將內建模組置為空,是不夠的,最好的機制是構造白名單,如果覺得比較麻煩,可以使用ast.literal_eval代替不安全的eval。

參考資料:

相關文章