实话说我标题党了,这只是一个小tip,不能算漏洞(因为我想swart就是这样设计的)。不过文档中似乎没有把这个说出来,我想如果有一千万分之一的概率被程序员这样写了,那的确能造成代码执行。
先举个简单例子吧,如下代码:
#!/usr/bin/env python #coding=utf-8 __author__ = 'Phtih0n' import web urls = ( '.*', 'game' ) class game: def GET(self): data = web.input() return data if __name__ == "__main__": app = web.application(urls, globals()) app.run()
最简单的一个网站代码,运行以后访问即可看到输出的是GET过来的一个字典:
Storage是web.py中定义的一个类,其基类是dict,也就是说其实Storage就是被封装过的一个字典。
web.input是一个接收GET或POST参数的重要函数,我们可以为参数设置一个默认值。
比如data = web.input(xdsec = "xdsec.org"),那么,如果访问http://localhost/?xdsec=123,则data['xdsec'] 就是 "123",但如果访问http://localhost/不带参数,则data['xdsec']就取默认值"xdsec.org"。如下:
我们看到web.py的源码,它是怎么处理input函数的:
def input(*requireds, **defaults):
"""
Returns a `storage` object with the GET and POST arguments.
See `storify` for how `requireds` and `defaults` work.
"""
_method = defaults.pop('_method', 'both')
out = rawinput(_method)
try:
defaults.setdefault('_unicode', True) # force unicode conversion by default.
return storify(out, *requireds, **defaults)
except KeyError:
raise badrequest()
我们看到,他调用了storify函数返回,我们再跟一下storify函数:
def storify(mapping, *requireds, **defaults):
_unicode = defaults.pop('_unicode', False)
# if _unicode is callable object, use it convert a string to unicode.
to_unicode = safeunicode
if _unicode is not False and hasattr(_unicode, "__call__"):
to_unicode = _unicode
def unicodify(s):
if _unicode and isinstance(s, str): return to_unicode(s)
else: return s
def getvalue(x):
if hasattr(x, 'file') and hasattr(x, 'value'):
return x.value
elif hasattr(x, 'value'):
return unicodify(x.value)
else:
return unicodify(x)
stor = Storage()
for key in requireds + tuple(mapping.keys()):
value = mapping[key]
if isinstance(value, list):
if isinstance(defaults.get(key), list):
value = [getvalue(x) for x in value]
else:
value = value[-1]
if not isinstance(defaults.get(key), dict):
value = getvalue(value)
if isinstance(defaults.get(key), list) and not isinstance(value, list):
value = [value]
setattr(stor, key, value)
for (key, value) in defaults.iteritems():
result = value
if hasattr(stor, key):
result = stor[key]
if value == () and not isinstance(result, tuple):
result = (result,)
setattr(stor, key, result)
return stor
关键看其中这几个点:
1._unicode = defaults.pop('_unicode', False)
从defaults(defaults是两个星号**defaults,也就是web.input时的默认值)中取出_unicode的值。
2.if _unicode is not False and hasattr(_unicode, "__call__"):
to_unicode = _unicode
如果_unicode不是false而且含有__call__这个属性的话,就赋值给to_unicode
3.if _unicode and isinstance(s, str): return to_unicode(s)
如果_unicode非false而且s是一个字符串则执行to_unicode(s)
也就是说,如果我将一个含有__call__属性的对象赋值给_unicode,就能够在这个函数中允许它。__call__是python中的“魔术变量”之一,当一个类含有__call__这个方法的时候,我们就能直接通过“类名()”的方式执行它。
所以,如果有一个参数的名字是_unicode,默认值是exp,那就会写作web.input(_unicode=exp),这时候就会在web.input中执行exp这个函数,造成代码执行。
不过为什么说是特性而不是漏洞呢,因为程序员是没有理由把程序写成web.input(_unicode=exp)的,就算_unicode的值真的是"exp"的话,也会写成web.input(_unicode="exp"),因为“exp”只是一个字符串。
web.py的开发者留这个参数的用意应该在于处理字符编码,当传入的参数不是unicode的情况下,能通过传入一个_unicode方法去处理这个字符串,类似于一个回调函数。
不过通过这个特性也能看到在python中一样可能出现安全问题,只是看你有没有心罢了。
我们可以来做个试验,如下代码:
#!/usr/bin/env python #coding=utf-8 __author__ = 'Phtih0n' import web urls = ( '.*', 'game' ) def exp(a): print "Hello, hacker" return a class game: def GET(self): data = web.input(_unicode=exp, xdsec = 'xdsec.org') return data if __name__ == "__main__": app = web.application(urls, globals()) app.run()
运行以后访问一下http://localhost/,我们看到控制台,可以看到,里面输出了"hello, hacker",每访问一次localhost就会输出一个hello:
实际上也就是exp函数被执行了。因为我把_unicode变量的值赋为了exp。如果我们把_unicode=exp换成_unicode=sys.exit,就能执行exit函数,导致进程退出,造成拒绝服务。