有人在推特上提供了一段神奇的Python代码
https://twitter.com/David3141593/status/1640115094255198208
————————————————————————–
unused=b’x50K34’+b’�’*26+b’+(xcaxcc+
xd1PxcfHLxceNMQxc8xc9xcfQxd74�PK12’+
b’�’*6+b’1’+b’�’*9+b’x15’+b’�’*7+b’13’+b’�’*17+
b’__x6dax69n__.x70yx50K56’+b’�’*8+b’9���003���′
i=__import__
i(“runpy”).run_path(i(“py_compile”).compile(__file__))
————————————————————————–
假设将上述代码置入test.py,以Python 3.8及以上版本执行之,输出”hacked lol”。
$ python3 test.py
hacked lol
PoC出场后有两位第一时间揭密
https://twitter.com/AstraKernel/status/1640255265382735873
https://twitter.com/c3rb3ru5d3d53c/status/1640191261435985920
下面是我的分析
PoC执行时,将自身编译成pyc再加载,在此过程中用到了zipimport模块。zipimport模块”意外地”将pyc co_consts中的unused值识别成zip文件,用_read_directory()对其中的__main__.py进行解析,后来又用_get_data()返回解压后的__main__.py字节码。最后由runpy.run_code()执行__main__.py字节码。
David3141593在twitter上提供PoC时,刻意做了些混淆;unused最前面4字节是zip文件的magic number,他故意不以可打印字符显示;unused中部有”__main__.py”,他故意不以可打印字符显示。PoC中unused是个畸形zip文件,作者故意的,实际此处可以是任意有效zip文件。最简方案是,将想执行的代码放入__main__.py,再压缩成zip文件,将zip文件的bytes表示赋给unused变量即可。不过作者后来提了issue,讲了不少细节。
https://github.com/python/cpython/issues/103051
zip文件格式参看
https://en.wikipedia.org/wiki/Zip_%28file_format%29
Python 3.10.6的调用栈简介
————————————————————————–
runpy.run_path(py_compile.compile(__file__))
importer = pkgutil.get_importer(path_name) // runpy.py:279
// 返回zipimporter
importer = path_hook(path_item) // pkgutil.py:421
// path_hook等于zipimport.zipimporter
zipimport.zipimporter.__init__(path_item) // 处理test.cpython-310.pyc
files = zipimport._read_directory(path) // zipimport.py:95
// zipimport._read_directory()从pyc尾部倒着搜索”PK56″
// 幺蛾子出在zipimport._read_directory()中
code = runpy._get_main_module_details() // runpy.py:302
runpy._get_module_details(“__main__”) // runpy.py:238
code = loader.get_code(“__main__”) // runpy.py:157
// 调用zipimport.zipimporter.get_code()
code = zipimport._get_module_code(self, fullname) // zipimport.py:196
data = zipimport._get_data(self.archive, “__main__”) // zipimport.py:752
// zipimport._get_data()返回解压后的__main__.py
runpy.run_code(code,…) // runpy.py:306
exec(code,…) // runpy.py:86
__main__.py // test.cpython-310.pyc
————————————————————————–
我这是用gdb调试Python解释器得到的调用栈回溯,实际情况有些微妙,后面是小侯的研究结论。
cpython-3.10.6Libzipimport.py
cpython-3.10.6Pythonimportlib_zipimport.h
cpython-3.10.6Programs_freeze_importlib.c
_freeze_importlib.c将zipimport.py编译成pyc,再序列化到importlib_zipimport.h,后者内容形如
const unsigned char _Py_M__zipimport[] = {99,0,0,0,…,19,12,15,}
Python源码提供zipimport.py,同时也提供预编译好的importlib_zipimport.h。编译Python源码时,缺省用importlib_zipimport.h,之后修改zipimport.py并不影响解释器。
参看
cpython-3.10.6Makefile.pre.in
编译源码时可用如下命令强制重新生成importlib_zipimport.h
make regen-importlib
这是老版定义frozen module的位置
https://github.com/python/cpython/blob/3.8/Python/frozen.c
————————————————————————–
static const struct _frozen _PyImport_FrozenModules[] = {
/* importlib */
{“_frozen_importlib”, _Py_M__importlib_bootstrap,
(int)sizeof(_Py_M__importlib_bootstrap)},
{“_frozen_importlib_external”, _Py_M__importlib_bootstrap_external,
(int)sizeof(_Py_M__importlib_bootstrap_external)},
{“zipimport”, _Py_M__zipimport,
(int)sizeof(_Py_M__zipimport)},
/* Test module */
{“__hello__”, M___hello__, SIZE},
/* Test package (negative size indicates package-ness) */
{“__phello__”, M___hello__, -SIZE},
{“__phello__.spam”, M___hello__, SIZE},
{0, 0, 0} /* sentinel */
};
————————————————————————–
这是新版(3.12.0)定义frozen module的位置
https://github.com/python/cpython/blob/60bdc16b459cf8f7b359c7f87d8ae6c5928147a4/Programs/_bootstrap_python.c#L36
————————————————————————–
static const struct _frozen bootstrap_modules[] = {
{“_frozen_importlib”, _Py_M__importlib__bootstrap, (int)sizeof(_Py_M__importlib__bootstrap)},
{“_frozen_importlib_external”, _Py_M__importlib__bootstrap_external, (int)sizeof(_Py_M__importlib__bootstrap_external)},
{“zipimport”, _Py_M__zipimport, (int)sizeof(_Py_M__zipimport)},
{0, 0, 0} /* bootstrap sentinel */
};
————————————————————————–
搞清楚原理后,可以自制这样的PoC,放一个正常zip到unused变量即可,也可以放畸型的,比如hello.py。
————————————————————————–
unused=b’PK34’+b’�’*26+
b’+(xcaxcc+xd1Pxf7Hxcdxc9xc9Wx08xcf/xcaIQTxd74�PK12’+
b’�’*6+b’1’+b’�’*9+b’x17’+b’�’*7+b’v’+b’�’*17+b’__main__.py’+
b’PK56’+b’�’*8+b’9’+b’�’*3+b’5’+b’�’*3
i=__import__
i(“runpy”).run_path(i(“py_compile”).compile(__file__))
————————————————————————–
$ python3 hello.py
Hello World!
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。