python调用compare工具_[漏洞调试笔记] Python PyObject_RichCompareBool UaF 细节

最新推荐文章于 2022-12-04 19:47:28 发布
最新推荐文章于 2022-12-04 19:47:28 发布
阅读量218 收藏
点赞数
文章标签: python调用compare工具

一 漏洞信息

对这类漏洞的启发是来自于https://bugs.python.org/issue27945​bugs.python.org

第二个漏洞,我们先来复现下面这段PoC :

class X:

def __eq__(self, other):

d.clear()

return NotImplemented

d = {0: set()}

(0, X()) in d.items()

这段PoC 对应的修复代码如下,我们在Python 3.8 上复现该漏洞时,需要注意以下的Patch 代码,把对应修改的代码改回来

diff --git a/Objects/dictobject.c b/Objects/dictobject.cindex 4bcc3db..56b06db 100644--- a/Objects/dictobject.c+++ b/Objects/dictobject.c@@ -3942,6 +3942,7 @@ dictitems_iter(_PyDictViewObject *dv) static int

dictitems_contains(_PyDictViewObject *dv, PyObject *obj)

{

+ int result; PyObject *key, *value, *found;

if (dv->dv_dict == NULL)

return 0;

@@ -3955,7 +3956,10 @@ dictitems_contains(_PyDictViewObject *dv, PyObject *obj) return -1;

return 0;

}

- return PyObject_RichCompareBool(value, found, Py_EQ);+ Py_INCREF(found);+ result = PyObject_RichCompareBool(value, found, Py_EQ);+ Py_DECREF(found);+ return result; }

static PySequenceMethods dictitems_as_sequence = {

修改为

static int

dictitems_contains(_PyDictViewObject *dv, PyObject *obj)

{

int result;

PyObject *key, *value, *found;

if (dv->dv_dict == NULL)

return 0;

if (!PyTuple_Check(obj) || PyTuple_GET_SIZE(obj) != 2)

return 0;

key = PyTuple_GET_ITEM(obj, 0);

value = PyTuple_GET_ITEM(obj, 1);

found = PyDict_GetItemWithError((PyObject *)dv->dv_dict, key);

if (found == NULL) {

if (PyErr_Occurred())

return -1;

return 0;

}

return PyObject_RichCompareBool(value, found, Py_EQ);

}

F5 启动Visual Studio ,可以看到崩溃点如下:

二 深入分析PoC

接下来分析PoC :

class X:

def __eq__(self, other):

d.clear()

return NotImplemented

d = {0: set()}

(0, X()) in d.items()

字典d 包含key 为0 ,内容为一个set() 对象.然后新构造一个tuple() 对象判断它是否被d 对象包含.那么就是??? in d 的代码语句触发dictitems_contains() 函数的调用,进而在后面的代码逻辑里面调用到PyObject_RichCompareBool() 函数.

此外,声明的类X 里面包含一个__eq__() 函数,这个__eq__() 函数内部竟然要对字典d 进行clear() ,究竟是为何可以导致UaF 产生呢?

三 源码调试

我们在dictitems_contains() 下断点,执行PoC ,然后可以看到key 和value 变量的值.

// obj 为tuple() 对象,(0,X()) in d 语句的左边那个值 key = PyTuple_GET_ITEM(obj, 0); // key 值为0 value = PyTuple_GET_ITEM(obj, 1); // value 为类X

接下来继续往下执行,代码会把key 值到d 对象里面寻找是否存在也有相同值.

found = PyDict_GetItemWithError((PyObject *)dv->dv_dict, key); // 这个是set() 对象 if (found == NULL) { // 这里肯定不为空 if (PyErr_Occurred())

return -1;

return 0;

}

最后就对value 和found 变量进行两值判断,特别特别要注意Py_EQ 这个关键字,它的意思是要调用__eq__() 函数进行值判断.

return PyObject_RichCompareBool(value, found, Py_EQ);

最后PyObject_RichCompareBool() 会递归调用到do_richcompare() 函数,我们就直接关注它的代码:

static PyObject *

do_richcompare(PyObject *v, PyObject *w, int op)

{

richcmpfunc f;

PyObject *res;

int checked_reverse_op = 0;

if (v->ob_type != w->ob_type && // ob_type 是指对象类型 PyType_IsSubtype(w->ob_type, v->ob_type) &&

(f = w->ob_type->tp_richcompare) != NULL) {

checked_reverse_op = 1;

res = (*f)(w, v, _Py_SwappedOp[op]);

if (res != Py_NotImplemented)

return res;

Py_DECREF(res);

}

if ((f = v->ob_type->tp_richcompare) != NULL) { // tp_richcompare 就是__eq__ 函数地址 // 如果对象里面已经声明__eq__ 函数,那么它就不为NULL res = (*f)(v, w, op); // 调用__eq__ 函数,实际上是调用到slot_tp_richcompare() if (res != Py_NotImplemented)

return res;

Py_DECREF(res);

}

// 省略无关代码 return res;

}

而slot_tp_richcompare() 函数,其实就是通过lookup_maybe_method() 来查询类里面是否存在某个函数对象,进而再通过call_unbound() 调用该函数.

static _Py_Identifier name_op[] = {

{0, "__lt__", 0},

{0, "__le__", 0},

{0, "__eq__", 0},

{0, "__ne__", 0},

{0, "__gt__", 0},

{0, "__ge__", 0}

};

static PyObject *

slot_tp_richcompare(PyObject *self, PyObject *other, int op)

{

int unbound;

PyObject *func, *res;

func = lookup_maybe_method(self, &name_op[op], &unbound);

if (func == NULL) {

PyErr_Clear();

Py_RETURN_NOTIMPLEMENTED;

}

PyObject *args[1] = {other};

res = call_unbound(unbound, func, self, args, 1);

Py_DECREF(func);

return res;

}

至此,我们基本上对整个执行过程的相关细节已经有所了解,那么还有最后两步细节,我们就直接F5 执行程序,让它执行到崩溃点,可以看到,崩溃代码也在do_richcompare() 里面.

static PyObject *

do_richcompare(PyObject *v, PyObject *w, int op) {

// 省略无关代码..... if ((f = v->ob_type->tp_richcompare) != NULL) { // <-- 这里调用到__eq__() 函数 res = (*f)(v, w, op);

if (res != Py_NotImplemented) // <-- TIPS1 .. return res;

Py_DECREF(res);

}

if (!checked_reverse_op && (f = w->ob_type->tp_richcompare) != NULL) { // <-- 这里崩溃 res = (*f)(w, v, _Py_SwappedOp[op]);

if (res != Py_NotImplemented)

return res;

Py_DECREF(res);

}

第一步细节,我们看注释TIPS1 对应的代码位置,当__eq__()函数返回的对象不为NotImplemented时,那就继续往下执行.此时w 对象已经被释放,这里的内容就已经为0xDDDDDDDD .

要理解最关键的一步细节,我们就需要深入理解Python 的对象引用机制.

四 Python 对象引用机制

Python 对象引用机制的意义在于,通过引用计数器ob_refcnt 来对对象的引用进行计数,在对象不再被引用时(引用计数为0)则立即释放对象.对Python 对象进行加引用,就调用Py_INCREF ,反之则调用Py_DECREF .那么,要想让一个对象被释放,那就必须要通过Py_DECREF让它被释放,而且此时的对象引用必须是ob_refcnt=1.

我们重新对代码进行调试,在dictitems_contains() 调用PyObject_RichCompareBool(value, found, Py_EQ); 时下断点.我们通过上面的分析知道,do_richcompare() 的v,w 参数分布对应的是value 和found 变量.我们观察断点处的内容.

可以看到,found 的ob_refcnt 为1 ,然后调用到X() 对象的__eq__() 函数,把字典对象d 清空,我们再来阅读clear() 函数的实现代码.

static PyObject *

dict_clear(PyDictObject *mp, PyObject *Py_UNUSED(ignored))

{

PyDict_Clear((PyObject *)mp);

Py_RETURN_NONE;

}

void

PyDict_Clear(PyObject *op)

{

PyDictObject *mp;

PyDictKeysObject *oldkeys;

PyObject **oldvalues;

Py_ssize_t i, n;

if (!PyDict_Check(op))

return;

mp = ((PyDictObject *)op);

oldkeys = mp->ma_keys; // 字典对象的key 内容 oldvalues = mp->ma_values;

// 省略无关代码 if (oldvalues != NULL) { // <-- 此时oldvalues == NULL // 省略无关代码 }

else {

assert(oldkeys->dk_refcnt == 1);

dictkeys_decref(oldkeys);

}

}

static inline void

dictkeys_decref(PyDictKeysObject *dk)

{

assert(dk->dk_refcnt > 0);

_Py_DEC_REFTOTAL;

if (--dk->dk_refcnt == 0) {

free_keys_object(dk);

}

}

static void

free_keys_object(PyDictKeysObject *keys)

{

PyDictKeyEntry *entries = DK_ENTRIES(keys);

Py_ssize_t i, n;

for (i = 0, n = keys->dk_nentries; i < n; i++) {

Py_XDECREF(entries[i].me_key); // <-- 对对象进行减引用 Py_XDECREF(entries[i].me_value);

}

if (keys->dk_size == PyDict_MINSIZE && numfreekeys < PyDict_MAXFREELIST) {

keys_free_list[numfreekeys++] = keys;

return;

}

PyObject_FREE(keys); // 对内容链表进行释放,但是没有释放里面的对象}

所以,我们可以看到,在__eq__() 函数里面调用了d.clear() ,把d 内部的所有对象都进行了一次减引用,此时found 对象(d 对象内保存的那个value )从ob_refcnt=1 被减引用为ob_refcnt=0 ,然后被_Py_Dealloc() 调用进行释放.回来继续看do_richcompare()的代码,注释里面就标得很清楚了.

static PyObject *

do_richcompare(PyObject *v, PyObject *w, int op) {

// 省略无关代码..... if ((f = v->ob_type->tp_richcompare) != NULL) { // <-- 这里调用到__eq__() 函数 res = (*f)(v, w, op); // <-- 这里已经把found 对象释放了 if (res != Py_NotImplemented) // <-- 返回NotImplemented ,没有return return res;

Py_DECREF(res);

}

if (!checked_reverse_op && (f = w->ob_type->tp_richcompare) != NULL) { // <-- 这里崩溃 res = (*f)(w, v, _Py_SwappedOp[op]);

if (res != Py_NotImplemented)

return res;

Py_DECREF(res);

}

五 回归diff

diff 代码为什么这样写,请大家自行思考

- return PyObject_RichCompareBool(value, found, Py_EQ);+ Py_INCREF(found);+ result = PyObject_RichCompareBool(value, found, Py_EQ);+ Py_DECREF(found);+ return result;

weixin_39752434
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python调用compare工具_python 比较两个excel文件中主要的差异配合Beyound Compare 使用更加完美...
weixin_39834767的博客
11-26 1294
1 #################################################################2 #3 #4 #diff_excel.py5 #6 #example: diff_excel.py7 #8 #auther: Devin Li9 #date: 2016/8/2910 #function: compare excel files11 #12 ...
cpython-lldb:LLDB扩展,用于调试Python程序
05-28
在分析Python进程的状态时,通常您只能访问解释器级别的信息:每个变量的类型均为PyObject *,并且堆栈跟踪将仅包含CPython内部调用和对外部库的调用。 除非您是CPython开发人员,否则需要对解释器实现中的某些错误...
python调用compare工具_Python Json Compare Json对象对比
weixin_39973196的博客
11-26 387
class JsonCompare:def __init__(self, new_data, old_data, is_debug=False):"""This for Json data comparison,and output the diffs between the new data and old data:param new_data: the new json data:param...
python调用compare工具_python常用工具组件
weixin_39794347的博客
11-26 181
1、JS 正则test - 判断字符串是否符合规定的正则rep = /\d+/;rep.test("asdfoiklfasdf89asdfasdf")# truerep = /^\d+$/;rep.test("asdfoiklfasdf89asdfasdf")# trueexec - 获取匹配的数据rep = /\d+/;str = "wangshen_67_houyafa_20"rep....
python~crush之compare工具
Hequan的专栏
05-21 686
本篇介绍的是compare这个工具[ceph3@ceph3 build]$ crush compare -h usage: crush compare [-h] [--replication-count REPLICATION_COUNT] [--rule RULE] [--values-count VALUES_COUNT]
任意2个对象的比较 Object Compare
talentkep的专栏
05-13 828
直接上源码: 先来测试用的例子类: public class A { int count; private String name; private A aa = null; public A(int count){ this.count=count; } public A getAa() { return aa; } public vo...
Python代码嵌入C++程序进行编写的实例
12-24
python嵌入的C++里面需要做一些步骤  安装python程序,这样才能使用python的头文件和库  在我们写的源文件中增加“Python.h”头文件,并且链入“python**.lib”库(还没搞清楚... 在调用任何python的c函数之前需要
Python调用C/C++的方法解析
01-19
Python是解释性语言, 底层就是用c实现的, 所以用python调用C是很容易的, 下面就总结一下各种调用的方法, 给出例子, 所有例子都在ubuntu9.10, python2.6下试过. 1. Python 调用 C (base) 想在python调用c函数, 如...
dm.rar_DM游戏_PyObject_dm代码软件
09-22
很不错了以个款游戏的服务器代码有兴趣自己看
C语言调用Python代码的方法
12-17
你想在C中安全的执行某个Python调用并返回结果给C。 例如,你想在C语言中使用某个Python函数作为一个回调。 解决方案 在C语言中调用Python非常简单,不过涉及到一些小窍门。 下面的C代码告诉你怎样安全的调用: #...
debug compare with release
chezhai的博客
10-28 266
Debug和Release区别VC下Debug和Release区别最近写代码过程中,发现 Debug 下运行正常,Release 下就会出现问题,百思不得其解,而Release 下又无法进行调试,于是只能采用printf方式逐步定位到问题所在处,才发现原来是给定的一个数组未初始化,导致后面处理异常。网上查找了些资料,在这 罗列汇总下,做为备忘~ 一、Debug 和 Release 的区别
数据比对常用的debug技巧
m0_49540263的博客
03-17 244
算法类IP由于直接比较结果数据往往debug较为困难。 所以,在算法类IP仿真中往往需要输出中间变量与算法同事编写的C model中间变量进行比对,从而定位设计问题,进行debug。 以下代码是testebench一种较为典型的中间数据输出形式,要求与算法同事商定好输出数据格式一致,用beyond conpare或是vim diff进行数据比对定位问题。 initial begin handle = $fopen("debug file path/deb
c语言中compare,DOS命令大全:Debug:c (compare)命令详解 – itShouce
weixin_35925298的博客
05-19 486
比较内存的两个部分。MS-DOS命令语法c range addressMS-DOS命令参数range必需。指定要比较的内存第一个区域的起始和结束地址,或起始地址和长度。address必需。指定要比较的第二个内存区域的起始地址。?显示 debug 子命令列表。MS-DOS命令注释指定有效的 range 项使用带有 debug 子命令的range 指定一个内存范围。可以选择如下 range格式:起始地...
python调用compare工具_Python win32com模块:CompareDocuments - python代码 - 源码查
weixin_39627455的博客
11-26 454
问题I am trying to programmatically use Word's built-in Compare function to do a diff of two versions of the same Word document in git.I've just been trying to get the compare portion of the code off th...
文件对比工具Beyond Compare使用方法(BCompare)
热门推荐
whatday的专栏
10-21 2万+
eyond Compare是一个很不错的文件/文件夹比较软件,第三版的Beyond Compare是在第二版之上的完全重构。类似从第一版到第二版的过渡,第三版重新考虑了用户界面,重新设计了内部基本结构并增加了显著的新功能。Beyond Compare 可以对文本、mp3、图片、数据、注册表等进行比较分析。对于程序员,你可以用它来对比两份代码的变化,甚至可以用它来比较文件版本和文件夹。在进行文件
python进行文件拷贝及compare,并html形式输出差异
wdlnancy的专栏
05-08 836
python脚本: #coding:utf-8 __author__ = '**' import difflib import webbrowser import configparser from bs4 import BeautifulSoup # import pandas # import numpy import os from shutil import copyfile def...
第8.22节 Python案例详解:重写 “富比较”方法控制比较逻辑
老猿Python
07-08 3221
一、 案例说明 本节定义一个小汽车的类Car,类中包括车名carname、百公里油耗oilcostper100km、价格price三个属性。然后实现__lt__、__gt__、__le__、__ge__四个方法(这4个方法的用途请见上一节《第8.21节 Python中__lt__、__gt__等 “富比较”(“rich comparison”)方法用途探究》(https://blog.csdn.n...
Python源码学习笔记:深入认识Python内建类型——list
xiaoli_Jenny的博客
05-17 467
“深入认识Python内建类型”这部分的内容会从源码角度为大家介绍Python中各种常用的内建类型。本篇博客是关于list的源码分析。
Python源码剖析3-列表对象PyListObject
Rnan_prince的博客
12-04 840
对象可以有效地支持插入,添加,删除等操作,在 Python 的列表中,无一例外地存放的都是 的指针。所以实际上,你可以这样看待 Python 中的列表: 。
java调用pythonpyd_Java怎么调用pyd文件
最新发布
06-02
要在Java中调用Python库,需要使用Java的Python解释器接口(Jython)或Python的C语言API(JyNI)。其中,JyNI是一个Java和Python之间的双向桥接器,可以直接在Java中调用Python库。以下是调用Python库的基本步骤: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值