"web.py使用不当可能造成代码执行"

phith0n (我也不会难过 你不要小看我) | 2014-07-15 00:31

实话说我标题党了,这只是一个小tip,不能算漏洞(因为我想swart就是这样设计的)。不过文档中似乎没有把这个说出来,我想如果有一千万分之一的概率被程序员这样写了,那的确能造成代码执行。

先举个简单例子吧,如下代码:

#!/usr/bin/env python
#coding=utf-8
__author__ = 'Phtih0n'
import web

urls = (
  '.*', 'game'
)

class game:
  def GET(self):
    data = web.input()
    return data

if __name__ == "__main__":
  app = web.application(urls, globals())
  app.run()

最简单的一个网站代码,运行以后访问即可看到输出的是GET过来的一个字典:

GET过来的一个字典

Storage是web.py中定义的一个类,其基类是dict,也就是说其实Storage就是被封装过的一个字典。

web.input是一个接收GET或POST参数的重要函数,我们可以为参数设置一个默认值。

比如data = web.input(xdsec = "xdsec.org"),那么,如果访问http://localhost/?xdsec=123,则data['xdsec'] 就是 "123",但如果访问http://localhost/不带参数,则data['xdsec']就取默认值"xdsec.org"。如下:

xdsec.org

xdsec.org

我们看到web.py的源码,它是怎么处理input函数的:

def input(*requireds, **defaults):
    """
    Returns a `storage` object with the GET and POST arguments.
    See `storify` for how `requireds` and `defaults` work.
    """
    _method = defaults.pop('_method', 'both')
    out = rawinput(_method)
    try:
        defaults.setdefault('_unicode', True) # force unicode conversion by default.
         return storify(out, *requireds, **defaults)
    except KeyError:
        raise badrequest()

我们看到,他调用了storify函数返回,我们再跟一下storify函数:

def storify(mapping, *requireds, **defaults):
    _unicode = defaults.pop('_unicode', False)

    # if _unicode is callable object, use it convert a string to unicode.
    to_unicode = safeunicode
    if _unicode is not False and hasattr(_unicode, "__call__"):
        to_unicode = _unicode

    def unicodify(s):
        if _unicode and isinstance(s, str): return to_unicode(s)
        else: return s

    def getvalue(x):
        if hasattr(x, 'file') and hasattr(x, 'value'):
            return x.value
        elif hasattr(x, 'value'):
            return unicodify(x.value)
        else:
            return unicodify(x)

    stor = Storage()
    for key in requireds + tuple(mapping.keys()):
        value = mapping[key]
        if isinstance(value, list):
            if isinstance(defaults.get(key), list):
                value = [getvalue(x) for x in value]
            else:
                value = value[-1]
        if not isinstance(defaults.get(key), dict):
            value = getvalue(value)
        if isinstance(defaults.get(key), list) and not isinstance(value, list):
            value = [value]
        setattr(stor, key, value)

    for (key, value) in defaults.iteritems():
        result = value
        if hasattr(stor, key):
            result = stor[key]
        if value == () and not isinstance(result, tuple):
            result = (result,)
        setattr(stor, key, result)

    return stor

关键看其中这几个点:

1._unicode = defaults.pop('_unicode', False)

从defaults(defaults是两个星号**defaults,也就是web.input时的默认值)中取出_unicode的值。

2.if _unicode is not False and hasattr(_unicode, "__call__"):

to_unicode = _unicode

如果_unicode不是false而且含有__call__这个属性的话,就赋值给to_unicode

3.if _unicode and isinstance(s, str): return to_unicode(s)

如果_unicode非false而且s是一个字符串则执行to_unicode(s)

也就是说,如果我将一个含有__call__属性的对象赋值给_unicode,就能够在这个函数中允许它。__call__是python中的“魔术变量”之一,当一个类含有__call__这个方法的时候,我们就能直接通过“类名()”的方式执行它。

所以,如果有一个参数的名字是_unicode,默认值是exp,那就会写作web.input(_unicode=exp),这时候就会在web.input中执行exp这个函数,造成代码执行。

不过为什么说是特性而不是漏洞呢,因为程序员是没有理由把程序写成web.input(_unicode=exp)的,就算_unicode的值真的是"exp"的话,也会写成web.input(_unicode="exp"),因为“exp”只是一个字符串。

web.py的开发者留这个参数的用意应该在于处理字符编码,当传入的参数不是unicode的情况下,能通过传入一个_unicode方法去处理这个字符串,类似于一个回调函数。

不过通过这个特性也能看到在python中一样可能出现安全问题,只是看你有没有心罢了。

我们可以来做个试验,如下代码:

#!/usr/bin/env python
#coding=utf-8
__author__ = 'Phtih0n'
import web

urls = (
  '.*', 'game'
)

def exp(a):
  print "Hello, hacker"
  return a

class game:
  def GET(self):
    data = web.input(_unicode=exp, xdsec = 'xdsec.org')
    return data

if __name__ == "__main__":
  app = web.application(urls, globals())
  app.run()

运行以后访问一下http://localhost/,我们看到控制台,可以看到,里面输出了"hello, hacker",每访问一次localhost就会输出一个hello:

每访问一次localhost就会输出一个hello

实际上也就是exp函数被执行了。因为我把_unicode变量的值赋为了exp。如果我们把_unicode=exp换成_unicode=sys.exit,就能执行exit函数,导致进程退出,造成拒绝服务。

[原文地址]

各种吐槽:

1#

Ricter (j0j0) | 2014-07-15 01:24

很赞啊!求勾搭qq i@moeloli.me

2#

liyang (<script>alert("xss")</script>) | 2014-07-15 08:31

mark 写过一些django

3#

xsser (十根阳具有长短!!) | 2014-07-15 08:44

exp是个表达式 已经算作代码一部分了 如果有数据到代码的转换就好了