本文将结合一个实例解说装置Fake Python Package时或许引起的恣意代码履行危险(原理同Package 垂钓,所以装置Python Package 一定要当心哦)以及相应的缓解办法。
一般来说,运用Python Package履行一些特定代码有两种途径:
在Package 履行的时分,称为运行时恣意代码履行;
在Package 装置时就触发恣意代码履行, 称为装置时恣意代码履行。
本文以后者为例进行演示与阐明。
0×01 试验与剖析
1、演示
歹意的Package结构如下:
十分简略,便是一个装置进口文件setup.py (setup.cfg用于预先设置一些装置选项)。
当咱们履行python setup.py install 或许 更常用的指令 pip install freebuf/ (这儿freebuf后加上一个’/'表明装置本地名为freebuf 文件中的源码,假如freebuf这个包经过源码包方式上传至Pypi的后,便可省掉‘/’) 的时分便会触发预先设置好的歹意代码,演示如下:
留意到上图中的Running setup.py了吗,这代表这时歹意代码现已开端履行,歹意代码会在/ 目录下写入一个明文Freebuf的文件,内容为:“欢迎我们来Freebuf投稿!”
2、剖析
这是怎样完成的呢? 答案便是Hook setup.py install 进程 ,原理如下:
setuptools 包供给了一个装置类 : setuptools.command.install.install,只需承继这个类,然后重写其run办法,那么就能够到达hook pip install xxx/ 或 python setup.py install 行为的意图。
完好hook 需求2步。
之一步,重写装置类,即重写原生install 类的ru 办法:
class CustomInstallCommand(install):
重写setuptools.command.install.install 的run办法,能够完成调用自定义函数,在pip install 的时分触发
def run(self):
custom_function()
install.run(self)
这儿的custom_function 就能够用来履行一些羞羞的操作(比方本例中的在/ 目录下写入一个Freebuf的文件,内容为: 欢迎我们到Freebuf投稿!),你懂得。
第二步,在setuptools.setup 设置中指明重写后的装置类:
setuptools.setup(
...
,
cmdclass={
'install': CustomInstallCommand,
},
)
0×02 怎么防备
1、关于习气下载源码包,然后本地装置的同学
在装置前检查一下setup.py中是否有歹意代码。 当然这或许难为一些同学了,那就主张你不要以root权限进行装置,比方普通用户可运用pip –user 来防止运用root权限装置包,然后从靠谱的站点下载Python Package 源码包。
2、关于运用pip 进行Package装置的同学
仅装置二进制的包,即选用wheels机制分发的源码包,后缀为.whl, 能够经过–only-binary 指定仅装置二进制软件包,比方:
pip install --only-binary :all: Django
假如不加–only-binary,则下载的是源码包,如下:
这儿弥补一下关于wheels的阐明(概况点击0×03中的参阅链接):
简略的讲,经过wheels机制分发的软件包,能够理解为在上传package时将现已在本地履行过setup.py的成果,然后打包上传了。
下载后再次装置的时分就不会再履行setup.py了,故也就无法经过setup.py履行歹意代码了。
pip 现在支撑源码包(.tar.gz后缀,里边包括setup.py文件,装置时会履行setup.py)装置和whl二进制包装置,所以得当心点。
校验下软件包的hash
–require-hashes ,加上这个装置选项
擦亮双眼,别被披着羊皮的狼给骗了(比方类似姓名或许同形贰言字的包给骗了)
3、主张Pypi 加大审阅力度,尽或许削减歹意软件包的上传
0×03 参阅资料
https://blog.zengrong.net/post/2169.html
https://packaging.python.org/discussions/wheel-vs-egg/
https://paper.seebug.org/326/
https://pythonwheels.com/
https://github.com/pypa/pip/issues/4735
https://cuyu.github.io/python/2019/08/07/%E4%BD%BF%E7%94%A8setuptools%E5%AE%9E%E7%8E%B0pip-install%E6%97%B6%E6%89%A7%E8%A1%8C%E6%8C%87%E5%AE%9A%E8%84%9A%E6%9C%AC
该漏洞是针对2019年4月Weblogic补丁的绕过,主要是由于支持Weblogic的JDK版本存在缺陷而导致攻击者可以绕过补丁在远程执行任意命令。 let SUCC+=1系统版本根据微软安全响应中...
之前工作中建立开源IDS,架构是suricata+barnyard2+snort规矩。跟搭档测验写了一些常见web缝隙扫描器的规矩,共享出来。许多都是依据UA来辨认的,因而比较简单,或许也会有误报。...
二、假装保护这次315晚会上在打扰电话方面,是从“机器人打打扰电话”和“经过wifi盒子获取用户手机号”两个方面说的。 sudo apt-get install build-essential aut...
/// <param name="connection"></param> 1 form id="location" href="bar">编码,然后再进行 URL...
Powershell作为内网浸透的利器, 在Windows环境下被广泛运用。 运用Poweshell能够下降软件的查杀概率,一起也是无文件进犯的常用手法。 在内网浸透中Powershell扮演着重要人...