实话说我标题党了,这只是一个小tip,不能算漏洞(因为我想swart就是这样设计的)。不过文档中似乎没有把这个说出来,我想如果有一千万分之一的概率被程序员这样写了,那的确能造成代码执行。
先举个简单例子吧,如下代码:
#!/usr/bin/env python #coding=utf-8 __author__ = 'Phtih0n' import web urls = ( '.*', 'game' ) class game: def GET(self): data = web.input() return data if __name__ == "__main__": app = web.application(urls, globals()) app.run()
最简单的一个网站代码,运行以后访问即可看到输出的是GET过来的一个字典:
Storage是web.py中定义的一个类,其基类是dict,也就是说其实Storage就是被封装过的一个字典。
web.input是一个接收GET或POST参数的重要函数,我们可以为参数设置一个默认值。
比如data = web.input(xdsec = “xdsec.org”),那么,如果访问http://localhost/?xdsec=123,则data[‘xdsec’] 就是 “123”,但如果访问http://localhost/不带参数,则data[‘xdsec’]就取默认值”xdsec.org”。如下:
我们看到web.py的源码,它是怎么处理input函数的:
def input(*requireds, **defaults): """ Returns a `storage` object with the GET and POST arguments. See `storify` for how `requireds` and `defaults` work. """ _method = defaults.pop('_method', 'both') out = rawinput(_method) try: defaults.setdefault('_unicode', True) # force unicode conversion by default. return storify(out, *requireds, **defaults) except KeyError: raise badrequest()
我们看到,他调用了storify函数返回,我们再跟一下storify函数:
def storify(mapping, *requireds, **defaults): _unicode = defaults.pop('_unicode', False) # if _unicode is callable object, use it convert a string to unicode. to_unicode = safeunicode if _unicode is not False and hasattr(_unicode, "__call__"): to_unicode = _unicode def unicodify(s): if _unicode and isinstance(s, str): return to_unicode(s) else: return s def getvalue(x): if hasattr(x, 'file') and hasattr(x, 'value'): return x.value elif hasattr(x, 'value'): return unicodify(x.value) else: return unicodify(x) stor = Storage() for key in requireds + tuple(mapping.keys()): value = mapping[key] if isinstance(value, list): if isinstance(defaults.get(key), list): value = [getvalue(x) for x in value] else: value = value[-1] if not isinstance(defaults.get(key), dict): value = getvalue(value) if isinstance(defaults.get(key), list) and not isinstance(value, list): value = [value] setattr(stor, key, value) for (key, value) in defaults.iteritems(): result = value if hasattr(stor, key): result = stor[key] if value == () and not isinstance(result, tuple): result = (result,) setattr(stor, key, result) return stor
关键看其中这几个点:
1._unicode = defaults.pop(‘_unicode’, False)
从defaults(defaults是两个星号**defaults,也就是web.input时的默认值)中取出_unicode的值。
2.if _unicode is not False and hasattr(_unicode, “__call__”):
to_unicode = _unicode
如果_unicode不是false而且含有__call__这个属性的话,就赋值给to_unicode
3.if _unicode and isinstance(s, str): return to_unicode(s)
如果_unicode非false而且s是一个字符串则执行to_unicode(s)
也就是说,如果我将一个含有__call__属性的对象赋值给_unicode,就能够在这个函数中允许它。__call__是python中的“魔术变量”之一,当一个类含有__call__这个方法的时候,我们就能直接通过“类名()”的方式执行它。
所以,如果有一个参数的名字是_unicode,默认值是exp,那就会写作web.input(_unicode=exp),这时候就会在web.input中执行exp这个函数,造成代码执行。
不过为什么说是特性而不是漏洞呢,因为程序员是没有理由把程序写成web.input(_unicode=exp)的,就算_unicode的值真的是”exp”的话,也会写成web.input(_unicode=”exp”),因为“exp”只是一个字符串。
web.py的开发者留这个参数的用意应该在于处理字符编码,当传入的参数不是unicode的情况下,能通过传入一个_unicode方法去处理这个字符串,类似于一个回调函数。
不过通过这个特性也能看到在python中一样可能出现安全问题,只是看你有没有心罢了。
我们可以来做个试验,如下代码:
#!/usr/bin/env python #coding=utf-8 __author__ = 'Phtih0n' import web urls = ( '.*', 'game' ) def exp(a): print "Hello, hacker" return a class game: def GET(self): data = web.input(_unicode=exp, xdsec = 'xdsec.org') return data if __name__ == "__main__": app = web.application(urls, globals()) app.run()
运行以后访问一下http://localhost/,我们看到控制台,可以看到,里面输出了”hello, hacker”,每访问一次localhost就会输出一个hello:
实际上也就是exp函数被执行了。因为我把_unicode变量的值赋为了exp。如果我们把_unicode=exp换成_unicode=sys.exit,就能执行exit函数,导致进程退出,造成拒绝服务。
相关推荐: 利用最新Apache解析漏洞(CVE-2017-15715)绕过上传黑名单
我在代码审计知识星球里提到了Apache最新的一个解析漏洞(CVE-2017-15715): 除了帖子中说到的利用方法,我们还可以利用这个漏洞来绕过上传黑名单限制。 目标环境 比如,目标存在一个上传的逻辑: <?php if(isset($_FILES[…
请登录后发表评论
注册