将任意Bytecode注入运行中的Python进程

时间 2019-11-10

标签任意 bytecode 注入运行 python 进程栏目 Python 繁體版

原文原文链接

在调试 Python 程序的时候，通常咱们只能经过如下几种方式进行调试:html

程序中已经有的日志
在代码中插入 import pdb; pdb.set_trace()

可是以上的方法也有不方便的地方，　好比对于已经在运行中的程序，　就不可能中止程序后加入调试代码和增长新的日志．java

从 JAVA 的 BTrace（https://kenai.com/projects/btrace） 项目获得灵感，尝试对正在运行的 Python 进程插入代码，在程序运行到指定的函数后，自动链接远程主机进行调试python

首先介绍三个开源的项目，　本实验须要用到这三个项目git

Pyasite https://github.com/lmacken/pyrasite Tools for injecting code into running Python processes
Byteplay https://github.com/serprex/byteplay 一个字节码维护项目，相似 java的asm/cglib
Rpdb-Shell https://github.com/alex8224/Rpdb-Shell

待注入的代码, 用官方的　tornado hello demo 作例子github

import tornado.ioloop
import tornado.web
import os

class MainHandler(tornado.web.RequestHandler):
    def get(self):        
        self.write("Hello, world")        

application = tornado.web.Application([
    (r"/", MainHandler),
])

if __name__ == "__main__":
    application.listen(8888)
    print(os.getpid())
    tornado.ioloop.IOLoop.instance().start()

注入如下代码(testinject.py)到 get 中web

import sys
import dis
import inspect
from byteplay import *

def wearedcode(fcode):
    c = Code.from_code(fcode)
    if c.code[1] == (LOAD_CONST, 'injected'):
        return fcode

    c.code[1:1] = [
                    (LOAD_CONST, injected'), (STORE_FAST, 'name'),
                    (LOAD_FAST, 'name'), 
                    (PRINT_ITEM, None), (PRINT_NEWLINE, None),
                    (LOAD_CONST, -1), (LOAD_CONST, None), 
                    (IMPORT_NAME, 'rpdb'), (STORE_FAST, 'rpdb'), 
                    (LOAD_FAST, 'rpdb'), (LOAD_ATTR, 'trace_to_remote'), 
                    (LOAD_CONST, '192.168.1.1'), (CALL_FUNCTION, 1),
                     (POP_TOP, None)
                  ] 

    return c.to_code()


def trace(frame, event, arg):
    if event != 'call':
        return
    co = frame.f_code
    func_name = co.co_name

    if func_name == "write":
        return

    if func_name == "get":
        import tornado.web
        args = inspect.getargvalues(frame)
        if 'self' in args.locals:
            if isinstance(args.locals['self'], tornado.web.RequestHandler):
                getmethod = args.locals['self'].get
                code = getmethod.__func__.__code__
                getmethod.__func__.__code__ = wearedcode(code)
        return

sys.settrace(trace)

环境

ubuntu 14.04 64bit LTS
Python 2.7.6

步骤

在机器上安装上面须要用到的三个项目
python server.py
在 192.168.1.1 执行 nc -l 4444
pyrasite $(ps aux |grep server.py |grep -v grep|awk '{print $2}') testinject.py
执行 curl http://localhost:8000 两次，　在第二次请求时替换的 bytecode 才会生效

结果

在执行上面的步骤后，　在执行第二次 curl http://127.0.0.1:8000 后，　应该可以看到控制台输入 injected 的字样，而且 nc -l 4444 监听的终端会出现 (pdb)> 的字样，　这样就可以对正在运行中的程序进行调试了．ubuntu

原理

Pyasite 能够注入代码到运行中的 Python 进程，它利用了 Python 的 PyRun_SimpleString 这个API插入代码，　至于进程注入应该是使用了 ptrace
Byteplay 是一个能够维护 Python bytecode的工具，　这部分跟 cglib/asm相似app

Pyasite 只能把代码注入到进程中并运行，不能定位到具体的函数并注入 bytecode, 在 testinject.py 中结合 Byteplay 完成了函数定位和替换 get 函数字节码的功能．curl

函数的定位用到了 sys.settrace 这个API,他提供了 call, line, return, exception事件，在合适的时机调用用户提供的函数, 具体能够参考 https://docs.python.org/2/library/sys.html#sys.settrace　的解释函数

理论上能够插入任意字节码到程序中的任意位置，　实现对现有进程中代码的任意修改．