使用OpCode繞過Python沙箱的方法詳解
0x01 OpCode
opcode又稱為操作碼,是將python原始碼進行編譯之後的結果,python虛擬機器無法直接執行human-readable的原始碼,因此python編譯器第一步先將原始碼進行編譯,以此得到opcode。例如在執行python程式時一般會先生成一個pyc檔案,pyc檔案就是編譯後的結果,其中含有opcode序列。
如何檢視一個函式的OpCode?
def a():
if 1 == 2:
print("flag{****}")
print "Opcode of a():",a.__code__.co_code.encode('hex')
通過此方法我們可以得到a函式的OpCode
Opcode of a(): 6401006402006b020072140064030047486e000064000053
我們可以通過dis庫獲得相應的解析結果。
import dis
dis.dis('6401006402006b020072140064030047486e000064000053'.decode('hex'))
得到反編譯的結果
0 LOAD_CONST 1 (1)
3 LOAD_CONST 2 (2)
6 COMPARE_OP 2 (==)
9 POP_JUMP_IF_FALSE 20
12 LOAD_CONST 3 (3)
15 LOAD_BUILD_CLASS
16 YIELD_FROM
17 JUMP_FORWARD 0 (to 20)>> 20 LOAD_CONST 0 (0)
23 RETURN_VALUE
常見的位元組碼指令
為了進一步研究OpCode,我們可以對dis的disassemble_string函式進行patch
在124行加入
print hex(op).ljust(6),
可以檢視具體的位元組碼。
0 LOAD_CONST 0x64 1 (1)
3 LOAD_CONST 0x64 2 (2)
6 COMPARE_OP 0x6b 2 (==)
9 POP_JUMP_IF_FALSE 0x72 20
12 LOAD_CONST 0x64 3 (3)
15 LOAD_BUILD_CLASS 0x4716 YIELD_FROM 0x48
17 JUMP_FORWARD 0x6e 0 (to 20)
>> 20 LOAD_CONST 0x64 0 (0)
23 RETURN_VALUE 0x53
變數
| 指令名 | 操作 |
|---|---|
| LOAD_GLOBAL | 讀取全域性變數 |
| STORE_GLOBAL | 給全域性變數賦值 |
| LOAD_FAST | 讀取區域性變數 |
| STORE_FAST | 給區域性變數賦值 |
| LOAD_CONST | 讀取常量 |
IF
| 指令名 | 操作 |
|---|---|
| POP_JUMP_IF_FALSE | 當條件為假的時候跳轉 |
| JUMP_FORWARD | 直接跳轉 |
CMP_OP
cmp_op = ('<','<=','==','!=','>','>=','in','not in','is','is not','exception match','BAD')
其餘的指令參考OpCode原始碼
0x02 利用OpCode改變程式執行邏輯
在Python中,我們可以對任意函式的__code__引數進行賦值,通過對其進行賦值,我們可以改變程式執行邏輯。
Example1
def a():
if 1 == 2:
print("flag{****}")
在沙箱環境中我們需要呼叫這個函式,但是此函式我們無法執行到print語句。因此我們需要通過某種方法得到flag
Solution 1
我們直接獲取a.__code__.co_consts,檢視所有的常量。即可知道flag
(None,1,2,'flag{****}')
Solution 2
更改程式執行邏輯
CodeType建構函式
def __init__(self,argcount,nlocals,stacksize,flags,code,consts,names,varnames,filename,name,firstlineno,lnotab,freevars=None,cellvars=None):
上述函式其餘引數均可通過__code.__.co_xxx獲得
因此我們
def a():
if 1 == 2:
print("flag{****}")
for name in dir(a.__code__):
print name,getattr(a.__code__,name)
輸出
co_argcount 0
co_cellvars ()
co_code ddkrdGHndS
co_consts (None,'flag{****}')
co_filename example1.py
co_firstlineno 1
co_flags 67
co_freevars ()
co_lnotabco_name a
co_names ()
co_nlocals 0
co_stacksize 2
co_varnames ()
構造相應目的碼
def a():
if 1 != 2:
print("flag{****}")
print "Opcode of a():",a.__code__.co_code.encode('hex')
得到code
6401006402006b030072140064030047486e000064000053
構造payload
def a():
if 1 == 2:
print("flag{****}")
newcode = type(a.__code__)
code = "6401006402006b030072140064030047486e000064000053".decode('hex')
code = newcode(0,67,(None,'flag{****}'),(),"xxx","a","")
a.__code__ = code
a()
即可輸出flag
Example 2
def target(flag):
def printflag():
if flag == "":
print flag
return printflag
flag = target("flag{*******}")
這一次因為是通過變數傳入引數,我們無法通過上一次讀co_consts獲得變數。但是我們這次依舊可以通過重寫code獲得flag。
構造替代函式
def target(flag):
def printflag():
if flag != "":
print flag
return printflag
a = target("xxx")
import types
code = a.__code__.co_code.encode('hex')
print code
EXP
newcode = type(flag.__code__)
code = "8800006401006b030072140088000047486e000064000053".decode('hex')
code = newcode(0,19,''),"example2.py","printflag","",('flag',),())
flag.__code__ = code
flag()
➜ python example2exp.py
8800006401006b030072140088000047486e000064000053
➜ python example2.py
flag{*******}
總結
以上就是這篇文章的全部內容了,希望本文的內容對大家的學習或者工作具有一定的參考學習價值,謝謝大家對我們的支援。