Python ctypes溢出漏洞分析，你的电脑正在被攻击

简介

Python是一款快速、优雅的编程语言。ctypes 是Python的外部函数库，它提供了与 C 兼容的数据类型,并允许调用 DLL 或共享库中的函数,可使用该模块以纯 Python 形式对这些库进行封装。在ctypes之中存在栈溢出问题。漏洞影响范围:小于3.9.1版本，影响模块_ctypes/callproc.c。

分析环境

系统版本：Win10 x64

环境版本：VS2019

Python源码版本：3.8.7rc1

环境搭建

1、安装VS2019，访问 https://visualstudio.microsoft.com/zh-hans/vs/按照安装步骤即可安装。

2、访问 https://github.com/python/cpython/tree/v3.8.7rc1/下载CPython源码。

3、在管理员权限下执行 cpython-3.8.7rc1\PCbuild\build.bat 等待其执行成功。

扫描二维码关注公众号，回复： 12937598 查看本文章

4、执行 cpython-3.8.7rc1\PCbuild\pcbuild.sln。

5、启动vs2019之后，右键选择 解决方案 找到 属性->配置属性。因为其他模块不需要分析，所以就不用编译。按照图中勾选。

6、选择菜单栏之中 生成->生成解决方案。

7、环境启动后，在需要调试的方法上设置断点。

代码分析

先来看到 _ctypes\callproc.c PyCArg_repr 方法。这个函数的作用将数据类型转换为C数据类型进行传递。该方法内定义变量 buffer[256]用于存放字符。

问题代码位于 cpython-3.8.7rc1\Modules_ctypes\callproc.c Line:521。使用sprintf作为字符串格式化，由于双精度长度超过预期。当给予超长字符串时候将会触发字符串超长溢出。

咱们执行POC之后观察DEBUG情况

>>> from ctypes import * 

>>> c_double.from_param(1e300)

Debug情况表示已经触发溢出，漏洞实际影响较小，buffer 256长度无法继续利用。如果大佬有什么好思路，欢迎补充。

修复情况

咱们访问 https://github.com/python/cpython/blob/master/Modules/_ctypes/callproc.cLine:488 PyCArg_repr()。

在新版本之中该问题已经得到修复，已经将sprintf换成PyUnicode_FromFormat。

温馨提示：最新版已修复，需要使用C\C++开发Python模块的大佬要注意更新。

总结

Python作为胶水语言为了结合各类语言的优势，安全问题相对涉及面较为广泛。虽然问题影响不大，但是挖掘漏洞的思路非常好。

简介

Python是一款快速、优雅的编程语言。ctypes 是Python的外部函数库，它提供了与 C 兼容的数据类型,并允许调用 DLL 或共享库中的函数,可使用该模块以纯 Python 形式对这些库进行封装。在ctypes之中存在栈溢出问题。漏洞影响范围:小于3.9.1版本，影响模块_ctypes/callproc.c。

分析环境

系统版本：Win10 x64

环境版本：VS2019

Python源码版本：3.8.7rc1

很多人学习python，不知道从何学起。
很多人学习python，掌握了基本语法过后，不知道在哪里寻找案例上手。
很多已经做案例的人，却不知道如何去学习更加高深的知识。
那么针对这三类人，我给大家提供一个好的学习平台，免费领取视频教程，电子书籍，以及课程的源代码！
QQ群：705933274

环境搭建

1、安装VS2019，访问 https://visualstudio.microsoft.com/zh-hans/vs/按照安装步骤即可安装。

2、访问 https://github.com/python/cpython/tree/v3.8.7rc1/下载CPython源码。

3、在管理员权限下执行 cpython-3.8.7rc1\PCbuild\build.bat 等待其执行成功。

4、执行 cpython-3.8.7rc1\PCbuild\pcbuild.sln。

5、启动vs2019之后，右键选择 解决方案 找到 属性->配置属性。因为其他模块不需要分析，所以就不用编译。按照图中勾选。

6、选择菜单栏之中 生成->生成解决方案。

7、环境启动后，在需要调试的方法上设置断点。

代码分析

先来看到 _ctypes\callproc.c PyCArg_repr 方法。这个函数的作用将数据类型转换为C数据类型进行传递。该方法内定义变量 buffer[256]用于存放字符。

问题代码位于 cpython-3.8.7rc1\Modules_ctypes\callproc.c Line:521。使用sprintf作为字符串格式化，由于双精度长度超过预期。当给予超长字符串时候将会触发字符串超长溢出。

咱们执行POC之后观察DEBUG情况

>>> from ctypes import * 

>>> c_double.from_param(1e300)

Debug情况表示已经触发溢出，漏洞实际影响较小，buffer 256长度无法继续利用。如果大佬有什么好思路，欢迎补充。

修复情况

咱们访问 https://github.com/python/cpython/blob/master/Modules/_ctypes/callproc.cLine:488 PyCArg_repr()。

在新版本之中该问题已经得到修复，已经将sprintf换成PyUnicode_FromFormat。

温馨提示：最新版已修复，需要使用C\C++开发Python模块的大佬要注意更新。

总结

Python作为胶水语言为了结合各类语言的优势，安全问题相对涉及面较为广泛。虽然问题影响不大，但是挖掘漏洞的思路非常好。

在这里还是要推荐下我自己建的Python学习群:705933274，群里都是学Python的，如果你想学或者正在学习Python ，欢迎你加入，大家都是软件开发党，不定期分享干货（只有Python软件开发相关的），包括我自己整理的一份2021最新的Python进阶资料和零基础教学，欢迎进阶中和对Python感兴趣的小伙伴加入！