Python Cache Poisoning

nseral@proton.me (Nicolás Seral) — Mon, 01 Jan 0001 00:00:00 +0000

El python cache poisoning es una vulnerabilidad (o técnica, según se mire) que permite escalar privilegios aprovechando la confianza de Python en archivos bytecode (.pyc) precompilados de scripts que ejecuta (normalmente con privilegios elevados).

Cuando Python ejecuta un script o importa una librería, hace lo siguiente:

Si no existe una versión precompilada, compila el código fuente a bytecode, que normalmente se almacena en __pycache__/NOMBRELIB.cpython-VERSION.pyc o (menos común) bajo un prefijo PYTHONPYCACHEPREFIX.
Si existe una versión precompilada, comprueba la cabecera (Magic Number que depende de la versión de Python, flags, metadatos como timestamp, size o hash), y, si al compararla con el .py original está bien, la ejecuta confiando en el .pyc.

Nota: Escalada de privilegios

Si un proceso con más privilegios ejecuta un .py o importa un módulo cuyo .pyc ha sido manipulado por un usuario menos privilegiado (y pasa la comprobación de cabecera), el payload corre con esos privilegios elevados.

Python Library Hijacking

nseral@proton.me (Nicolás Seral) — Mon, 01 Jan 0001 00:00:00 +0000

El Python Library Hijacking es una técnica de escalada de privilegios que consiste en aprovechar la forma en la que Python busca las librerías para cargar código malicioso en lugar de las librerías originales.

Funcionamiento
#

Python busca módulos en un órden específico definido por sys.path, que puede verse de la siguiente manera:

1
2


$ python3 -c 'import sys; print(sys.path)'
['', '/usr/lib/python312.zip', '/usr/lib/python3.12', '/usr/lib/python3.12/lib-dynload', '/usr/local/lib/python3.12/dist-packages', '/usr/lib/python3/dist-packages']

Normalmente, el orden es el siguiente:

Privesc on seraldinho.pages.dev

Python Cache Poisoning

Python Library Hijacking

Funcionamiento #

Funcionamiento
#