LOAD_NAME / LOAD_CONST opcode OOB Read
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Esta información fue tomada de este informe.
TL;DR
Podemos usar la función de lectura OOB en el opcode LOAD_NAME / LOAD_CONST para obtener algún símbolo en la memoria. Lo que significa usar trucos como (a, b, c, ... cientos de símbolos ..., __getattribute__) if [] else [].__getattribute__(...)
para obtener un símbolo (como un nombre de función) que desees.
Luego simplemente crea tu exploit.
Resumen
El código fuente es bastante corto, ¡solo contiene 4 líneas!
Puedes introducir código Python arbitrario, y se compilará en un objeto de código Python. Sin embargo, co_consts
y co_names
de ese objeto de código serán reemplazados por una tupla vacía antes de evaluar ese objeto de código.
Por lo tanto, de esta manera, todas las expresiones que contienen constantes (por ejemplo, números, cadenas, etc.) o nombres (por ejemplo, variables, funciones) podrían causar una falla de segmentación al final.
Lectura fuera de límites
¿Cómo ocurre la falla de segmentación?
Comencemos con un ejemplo simple, [a, b, c]
podría compilar en el siguiente bytecode.
Pero ¿qué sucede si co_names
se convierte en una tupla vacía? El opcode LOAD_NAME 2
sigue ejecutándose e intenta leer el valor de esa dirección de memoria donde originalmente debería estar. Sí, esto es una característica de lectura fuera de límites.
El concepto principal para la solución es simple. Algunos opcodes en CPython, por ejemplo LOAD_NAME
y LOAD_CONST
, son vulnerables (?) a la lectura fuera de límites.
Recuperan un objeto del índice oparg
de la tupla consts
o names
(así es como se llaman co_consts
y co_names
internamente). Podemos consultar el siguiente fragmento sobre LOAD_CONST
para ver qué hace CPython cuando procesa el opcode LOAD_CONST
.
De esta manera podemos usar la función OOB para obtener un "nombre" desde un desplazamiento de memoria arbitrario. Para asegurarnos de qué nombre tiene y cuál es su desplazamiento, simplemente sigue intentando LOAD_NAME 0
, LOAD_NAME 1
... LOAD_NAME 99
... Y podrías encontrar algo en aproximadamente oparg > 700. También puedes intentar usar gdb para echar un vistazo a la disposición de la memoria, por supuesto, ¿pero no crees que sería más fácil?
Generando el Exploit
Una vez que recuperamos esos desplazamientos útiles para nombres / constantes, ¿cómo obtenemos un nombre / constante a partir de ese desplazamiento y lo usamos? Aquí tienes un truco:
Supongamos que podemos obtener un nombre __getattribute__
desde el desplazamiento 5 (LOAD_NAME 5
) con co_names=()
, entonces simplemente realiza lo siguiente:
Observa que no es necesario nombrarlo como
__getattribute__
, puedes nombrarlo de forma más corta o extraña
Puedes entender la razón simplemente viendo su bytecode:
Observa que LOAD_ATTR
también recupera el nombre de co_names
. Python carga los nombres desde el mismo desplazamiento si el nombre es el mismo, por lo que el segundo __getattribute__
todavía se carga desde el desplazamiento=5. Usando esta característica, podemos utilizar un nombre arbitrario una vez que el nombre esté en la memoria cercana.
Para generar números debería ser trivial:
0: not [[]]
1: not []
2: (not []) + (not [])
...
Script de Explotación
No utilicé constantes debido al límite de longitud.
Primero aquí hay un script para encontrar esos desplazamientos de nombres.
Y lo siguiente es para generar el exploit real de Python.
Básicamente hace las siguientes cosas, para esas cadenas que obtenemos del método __dir__
:
Aprende y practica Hacking en AWS: HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Last updated