使用OpCode绕过Python沙箱的方法详解
0x01 opcode
opcode又称为操作码,是将python源代码进行编译之后的结果,python虚拟机无法直接执行human-readable的源代码,因此python编译器第一步先将源代码进行编译,以此得到opcode。例如在执行python程序时一般会先生成一个pyc文件,pyc文件就是编译后的结果,其中含有opcode序列。
如何查看一个函数的opcode?
def a():
if 1 == 2:
print("flag{****}")
print "opcode of a():",a.__code__.co_code.encode('hex')
通过此方法我们可以得到a函数的opcode
opcode of a(): 6401006402006b020072140064030047486e000064000053
我们可以通过dis库获得相应的解析结果。
import dis
dis.dis('6401006402006b020072140064030047486e000064000053'.decode('hex'))
得到反编译的结果
0 load_const 1 (1)
3 load_const 2 (2)
6 compare_op 2 (==)
9 pop_jump_if_false 20
12 load_const 3 (3)
15 load_build_class
16 yield_from
17 jump_forward 0 (to 20)
>> 20 load_const 0 (0)
23 return_value
常见的字节码指令
为了进一步研究opcode,我们可以对dis的disassemble_string函数进行patch
在124行加入
print hex(op).ljust(6),
可以查看具体的字节码。
0 load_const 0x64 1 (1)
3 load_const 0x64 2 (2)
6 compare_op 0x6b 2 (==)
9 pop_jump_if_false 0x72 20
12 load_const 0x64 3 (3)
15 load_build_class 0x47
16 yield_from 0x48
17 jump_forward 0x6e 0 (to 20)
>> 20 load_const 0x64 0 (0)
23 return_value 0x53
变量
| 指令名 | 操作 |
|---|---|
| load_global | 读取全局变量 |
| store_global | 给全局变量赋值 |
| load_fast | 读取局部变量 |
| store_fast | 给局部变量赋值 |
| load_const | 读取常量 |
if
| 指令名 | 操作 |
|---|---|
| pop_jump_if_false | 当条件为假的时候跳转 |
| jump_forward | 直接跳转 |
cmp_op
cmp_op = ('<', '<=', '==', '!=', '>', '>=', 'in', 'not in', 'is','is not', 'exception match', 'bad')
其余的指令参考opcode源码
0x02 利用opcode改变程序运行逻辑
在python中,我们可以对任意函数的__code__参数进行赋值,通过对其进行赋值,我们可以改变程序运行逻辑。
example1
def a():
if 1 == 2:
print("flag{****}")
在沙箱环境中我们需要调用这个函数,但是此函数我们无法执行到print语句。因此我们需要通过某种方法得到flag
solution 1
我们直接获取a.__code__.co_consts,查看所有的常量。即可知道flag
(none, 1, 2, 'flag{****}')
solution 2
更改程序运行逻辑
codetype构造函数
def __init__(self, argcount, nlocals, stacksize, flags, code,
consts, names, varnames, filename, name,
firstlineno, lnotab, freevars=none, cellvars=none):
上述函数其余参数均可通过__code.__.co_xxx获得
因此我们
def a():
if 1 == 2:
print("flag{****}")
for name in dir(a.__code__):
print name,getattr(a.__code__,name)
输出
co_argcount 0
co_cellvars ()
co_code ddkrdghnds
co_consts (none, 1, 2, 'flag{****}')
co_filename example1.py
co_firstlineno 1
co_flags 67
co_freevars ()
co_lnotabco_name a
co_names ()
co_nlocals 0
co_stacksize 2
co_varnames ()
构造相应目标代码
def a():
if 1 != 2:
print("flag{****}")
print "opcode of a():",a.__code__.co_code.encode('hex')
得到code
6401006402006b030072140064030047486e000064000053
构造payload
def a():
if 1 == 2:
print("flag{****}")
newcode = type(a.__code__)
code = "6401006402006b030072140064030047486e000064000053".decode('hex')
code = newcode(0,0,2,67,code,(none, 1, 2, 'flag{****}'),(),(),"xxx","a",1,"")
a.__code__ = code
a()
即可输出flag
example 2
def target(flag):
def printflag():
if flag == "":
print flag
return printflag
flag = target("flag{*******}")
这一次因为是通过变量传入参数,我们无法通过上一次读co_consts获得变量。但是我们这次依旧可以通过重写code获得flag。
构造替代函数
def target(flag):
def printflag():
if flag != "":
print flag
return printflag
a = target("xxx")
import types
code = a.__code__.co_code.encode('hex')
print code
exp
newcode = type(flag.__code__)
code = "8800006401006b030072140088000047486e000064000053".decode('hex')
code = newcode(0,0,2,19,code,(none, ''),(),(),"example2.py","printflag",2,"",('flag',),())
flag.__code__ = code
flag()
➜ python example2exp.py
8800006401006b030072140088000047486e000064000053
➜ python example2.py
flag{*******}
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,谢谢大家对的支持。