基于Python实现一个RASP-demo

admin 2022年5月17日11:26:22评论123 views字数 2683阅读8分56秒阅读模式

一直想用Python的上层覆盖机制HOOK关键函数来实现一个RASP,最近有时间收集了这方面的一些资料。

0x00 引子

RASP (Runtime application self-protection),运行时应用自我保护。很早之前提出的一个防御概念,将防御注入到应用程序中,不需要修改原有应用的业务代码即可实现对原有应用的防护。

详细概念参考绿盟的这篇讲解:

http://blog.nsfocus.net/rasp-tech/

Python HOOK 函数劫持打算通过 Python 动态分析中用到的命名空间覆盖的机制,对危险函数及类操作进行中转重写。其实相当于

相应的技术参考下面篇技术:

逢魔安全实验室的研究

聂大佬的研究

pyekaboo-自动化的hook生成工具

0x01 从函数hook到类hook

函数 hook

模块函数 hook 可以直接通过覆盖劫持的方式进行,这种情况适用于面向过程以函数为主的模块。

示例如下,这里为了环境方便,直接在 umarfarook882 的一个 web demo 上进行修改测试(其实他在视频里已经展示了自己针对不同语言实现的RASP,但是 github 上只放出了测试环境,并未提供RASP代码)。

首先是一个命令执行的测试页面,现在我们希望不修改代码,直接在应用中内嵌防御模块。

命令执行的实现代码如下:

1
2
3
4
5
6
7
8
9
10
def post(self):
print("POST call")
print("POST ", self.request.uri,"\nBODY", self.request.body)
ping = self.get_argument('ping')
result = os.popen(ping)
res = result.read()
a = ''
for line in res.splitlines():
a += str(line)
self.render("ping.html",msg=a)

通过 hook 关键 os 函数 popen,可以实现一个针对命令执行的防御,详细代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54

首先,在应用的同目录下,新建 os.py 文件进行覆盖
然后,中转到正常的 os 模块并在 popen 函数调用时增加

import sys
import io

class _InstallFcnHook(object):
def __init__(self, fcn, debug=False):
self.debug = debug
self._fcn = fcn

def _pre_hook(self, *args, **kwargs):
return (args, kwargs)

def _post_hook(self, retval, *args, **kwargs):
#print(retval.read())
if 'whoami' in args:
a = io.open('log','w+')
a.write(u"'whoami' is dangerous")
#file = open('log',O_RDONLY)
a.close()
a = io.open('log','r')
retval = a
return retval

def __call__(self, *args, **kwargs):
_hook_args = args
_hook_kwargs = kwargs
(_hook_args, _hook_kwargs) = self._pre_hook(*args, **kwargs)

retval = self._fcn(*_hook_args, **_hook_kwargs)

retval = self._post_hook(retval, *_hook_args, **_hook_kwargs)

return retval

def _load_and_regisqter_as(input_modname, output_modnames=[], look_path=[]):
import imp
mod = None
fd = None
try:
fd, pathname, description = imp.find_module(input_modname, look_path)
for output_name in output_modnames:
mod = imp.load_module(output_name, fd, pathname, description)
finally:
if fd is not None:
fd.close()
return mod

if __name__ != "__main__":
_load_and_regisqter_as(__name__, [__name__, "orig_" + __name__], sys.path[::-1])

popen = _InstallFcnHook(popen)

其中 _InstallFcnHook 类实现了对应模块函数的劫持,_load_and_regisqter_as 函数则相当于是一个重定向的加载,加载完成后,对相应的函数进行覆盖。

而RASP就可以在覆盖的过程中,对整个应用调用前和调用后的参数进行获取,进而进行判断和阻断。这里需要注意的是,由于原来的代码使用 popen 来做命令执行的复现,因此这里劫持时需要返回一个 file 对象,又由于 os 模块自带 open 的机制和 io.open 不同,所以需要我们使用 io.open 重新生成一个 file 对象,在命中过滤规则时重写原有的 file 对象,也就是下面这段代码。

1
2
3
4
5
6
7
8
9
10
def _post_hook(self, retval, *args, **kwargs):
#print(retval.read())
if 'whoami' in args:
a = io.open('log','w+')
a.write(u"'whoami' is dangerous")
#file = open('log',O_RDONLY)
a.close()
a = io.open('log','r')
retval = a
return retval

我们先判断传递进来的命令是否命中规则(作为demo,这里仅以 whoami 为例),如果命中规则,就更改返回对象。这里选择了在命令执行后阻断结果回显,还有许多命令显然需要在执行前进行阻断,因此这一类操作就需要在 _pre_hook 中编写相应的防御代码。

类 hook

(由于最新的一篇论文阅读笔记发布,该部分实验未完待续~~)


FROM : phantom0301 | Author:phantom0301

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月17日11:26:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   基于Python实现一个RASP-demohttp://cn-sec.com/archives/1013022.html

发表评论

匿名网友 填写信息