编程 Python

使用OpCode绕过Python沙箱的方法详解

Posted in Python onSeptember 03, 2019

0x01 OpCode

opcode又称为操作码，是将python源代码进行编译之后的结果，python虚拟机无法直接执行human-readable的源代码，因此python编译器第一步先将源代码进行编译，以此得到opcode。例如在执行python程序时一般会先生成一个pyc文件，pyc文件就是编译后的结果，其中含有opcode序列。

如何查看一个函数的OpCode?

def a():
 if 1 == 2:
  print("flag{****}")

print "Opcode of a():",a.__code__.co_code.encode('hex')

通过此方法我们可以得到a函数的OpCode

Opcode of a(): 6401006402006b020072140064030047486e000064000053

我们可以通过dis库获得相应的解析结果。

import dis

dis.dis('6401006402006b020072140064030047486e000064000053'.decode('hex'))

得到反编译的结果

0 LOAD_CONST          1 (1)
      3 LOAD_CONST          2 (2)
      6 COMPARE_OP          2 (==)
      9 POP_JUMP_IF_FALSE    20
     12 LOAD_CONST          3 (3)
     15 LOAD_BUILD_CLASS
     16 YIELD_FROM
     17 JUMP_FORWARD        0 (to 20)
>>   20 LOAD_CONST          0 (0)
     23 RETURN_VALUE

常见的字节码指令

为了进一步研究OpCode，我们可以对dis的disassemble_string函数进行patch

在124行加入

print hex(op).ljust(6),

可以查看具体的字节码。

0 LOAD_CONST           0x64       1 (1)
      3 LOAD_CONST           0x64       2 (2)
      6 COMPARE_OP           0x6b       2 (==)
      9 POP_JUMP_IF_FALSE    0x72      20
     12 LOAD_CONST           0x64       3 (3)
     15 LOAD_BUILD_CLASS     0x47
     16 YIELD_FROM           0x48
     17 JUMP_FORWARD         0x6e       0 (to 20)
>>   20 LOAD_CONST           0x64       0 (0)
     23 RETURN_VALUE         0x53

变量

指令名	操作
LOAD_GLOBAL	读取全局变量
STORE_GLOBAL	给全局变量赋值
LOAD_FAST	读取局部变量
STORE_FAST	给局部变量赋值
LOAD_CONST	读取常量

指令名	操作
POP_JUMP_IF_FALSE	当条件为假的时候跳转
JUMP_FORWARD	直接跳转

CMP_OP

cmp_op = ('<', '<=', '==', '!=', '>', '>=', 'in', 'not in', 'is','is not', 'exception match', 'BAD')

其余的指令参考OpCode源码

0x02 利用OpCode改变程序运行逻辑

在Python中，我们可以对任意函数的__code__参数进行赋值，通过对其进行赋值，我们可以改变程序运行逻辑。

Example1

def a():
 if 1 == 2:
  print("flag{****}")

在沙箱环境中我们需要调用这个函数，但是此函数我们无法执行到print语句。因此我们需要通过某种方法得到flag

Solution 1

我们直接获取a.__code__.co_consts，查看所有的常量。即可知道flag

(None, 1, 2, 'flag{****}')

Solution 2

更改程序运行逻辑

CodeType构造函数

def __init__(self, argcount, nlocals, stacksize, flags, code,
     consts, names, varnames, filename, name, 
     firstlineno, lnotab, freevars=None, cellvars=None):

上述函数其余参数均可通过__code.__.co_xxx获得

因此我们

def a():
 if 1 == 2:
  print("flag{****}")

for name in dir(a.__code__):
 print name,getattr(a.__code__,name)

输出

co_argcount 0
co_cellvars ()
co_code ddkrdGHndS
co_consts (None, 1, 2, 'flag{****}')
co_filename example1.py
co_firstlineno 1
co_flags 67
co_freevars ()
co_lnotab

co_name a
co_names ()
co_nlocals 0
co_stacksize 2
co_varnames ()

构造相应目标代码

def a():
 if 1 != 2:
  print("flag{****}")

print "Opcode of a():",a.__code__.co_code.encode('hex')

得到code

6401006402006b030072140064030047486e000064000053

构造payload

def a():
 if 1 == 2:
  print("flag{****}")

newcode = type(a.__code__)
code = "6401006402006b030072140064030047486e000064000053".decode('hex')
code = newcode(0,0,2,67,code,(None, 1, 2, 'flag{****}'),(),(),"xxx","a",1,"")
a.__code__ = code

a()

即可输出flag

Example 2

def target(flag):
 def printflag():
  if flag == "":
   print flag
 return printflag

flag = target("flag{*******}")

这一次因为是通过变量传入参数，我们无法通过上一次读co_consts获得变量。但是我们这次依旧可以通过重写code获得flag。

构造替代函数

def target(flag):
 def printflag():
  if flag != "":
   print flag
 return printflag
a = target("xxx")
import types
code = a.__code__.co_code.encode('hex')
print code

EXP

newcode = type(flag.__code__)
code = "8800006401006b030072140088000047486e000064000053".decode('hex')
code = newcode(0,0,2,19,code,(None, ''),(),(),"example2.py","printflag",2,"",('flag',),())
flag.__code__ = code
flag()

➜ python example2exp.py
8800006401006b030072140088000047486e000064000053
➜ python example2.py
flag{*******}

总结

以上就是这篇文章的全部内容了，希望本文的内容对大家的学习或者工作具有一定的参考学习价值，谢谢大家对三水点靠木的支持。

使用OpCode绕过Python沙箱的方法详解

- Author -

daisy

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

Python 相关文章推荐

python计算圆周率pi的方法

Jul 11 Python

Python基于Matplotlib库简单绘制折线图的方法示例

Aug 14 Python

Linux下python与C++使用dlib实现人脸检测

Jun 29 Python

python 对key为时间的dict排序方法

Oct 17 Python

Python+OpenCv制作证件图片生成器的操作方法

Aug 21 Python

利用rest framework搭建Django API过程解析

Aug 31 Python

python单向循环链表原理与实现方法示例

Dec 03 Python

解决pycharm 安装numpy失败的问题

Dec 05 Python

Python爬虫工具requests-html使用解析

Apr 29 Python

Python数据可视化实现漏斗图过程图解

Jul 20 Python

PyQt中使用QtSql连接MySql数据库的方法

Jul 28 Python

Python创建临时文件和文件夹

Aug 05 Python

python实现单链表的方法示例

Sep 03 #Python

python中enumerate() 与zip()函数的使用比较实例分析

Sep 03 #Python

python网络编程之多线程同时接受和发送

Sep 03 #Python

springboot配置文件抽离 git管理统配置中心详解

Sep 02 #Python

python生成随机红包的实例写法

Sep 02 #Python

Django发送邮件功能实例详解

Sep 02 #Python

python读取Excel表格文件的方法

Sep 02 #Python

You might like

Uchome1.2 1.5 代码学习 common.php

2009/04/24 PHP

PHP封装CURL扩展类实例

2015/07/28 PHP

PHP读取PPT文件的方法

2015/12/10 PHP

PHP实现无限极分类的两种方式示例【递归和引用方式】

2019/03/25 PHP

如何在PHP中使用AES加密算法加密数据

2020/06/24 PHP

HTML-CSS群中单选引发的“事件”

2007/03/05 Javascript

jQuery避免$符和其他JS库冲突的方法对比

2014/02/20 Javascript

jQuery.position()方法获取不到值的安全替换方法

2015/03/13 Javascript

解决VUEX刷新的时候出现数据消失

2017/07/03 Javascript

JS实现多物体运动的方法详解

2018/01/23 Javascript

JavaScript中为事件指定处理程序的五种方式分析

2018/07/27 Javascript

JavaScript实现简单音乐播放器

2020/04/17 Javascript

vue基础之模板和过滤器用法实例分析

2019/03/12 Javascript

详解vue微信网页授权最终解决方案

2019/06/16 Javascript

Webpack设置环境变量的一些误区详解

2019/12/19 Javascript

小谈angular ng deploy的实现

2020/04/07 Javascript

zookeeper python接口实例详解

2018/01/18 Python

python 循环读取txt文档并转换成csv的方法

2018/10/26 Python

Python分割指定页数的pdf文件方法

2018/10/26 Python

用python3教你任意Html主内容提取功能

2018/11/05 Python

Python Series从0开始索引的方法

2018/11/06 Python

Python中xml和json格式相互转换操作示例

2018/12/05 Python

css3 中的新特性加强记忆详解

2016/04/16 HTML / CSS

谷歌浏览器小字体处理方案即12px以下字体

2013/12/17 HTML / CSS

使用分层画布来优化HTML5渲染的教程

2015/05/08 HTML / CSS

HTML5+lufylegend实现游戏中的卷轴

2016/02/29 HTML / CSS

本科毕业生求职自荐信

2014/02/03 职场文书

委托公证书

2014/04/08 职场文书

先进教师事迹材料

2014/12/16 职场文书

后备干部推荐材料

2014/12/24 职场文书

物业工程部岗位职责

2015/02/11 职场文书

2015迎新晚会开场白

2015/07/17 职场文书

2019年干货：自我鉴定

2019/03/25 职场文书

Redis遍历所有key的两个命令(KEYS 和 SCAN)

2021/04/12 Redis

特别篇动画《总之就是非常可爱 ~制服~》PV公开，2022年夏季播出

2022/04/04 日漫

vue中this.$http.post()跨域和请求参数丢失的解决

2022/04/08 Vue.js