分类: AIPwn

TensorFlow saved_model_cli 代码注入漏洞分析

P小二

今天来分析一下还热乎的,TF的代码注入漏洞。出问题的是TF的saved_model_cli程序。

saved_model_cli 主要功能是用来保存模型,这个程序在安装TF的时候就默认自带了,不知道有多少人用过它。

下面是它run的用法:


(base) [~] saved_model_cli run -h                                     21:24:46
usage: saved_model_cli run [-h] --dir DIR --tag_set TAG_SET --signature_def
                           SIGNATURE_DEF_KEY [--inputs INPUTS]
                           [--input_exprs INPUT_EXPRS]
                           [--input_examples INPUT_EXAMPLES] [--outdir OUTDIR]
                           [--overwrite] [--tf_debug] [--worker WORKER]
                           [--init_tpu]

Usage example:
To run input tensors from files through a MetaGraphDef and save the output tensors to files:
$saved_model_cli show --dir /tmp/saved_model --tag_set serve \
--signature_def serving_default \
--inputs input1_key=/tmp/124.npz[x],input2_key=/tmp/123.npy \
--input_exprs 'input3_key=np.ones(2)' \
--input_examples 'input4_key=[{"id":[26],"weights":[0.5, 0.5]}]' \
--outdir=/out

可以看到,里面有一个--input_examples的参数,它接受一个字典作为值。



从源码中,我们去看下是怎么处理这个输入参数值的。


def preprocess_input_examples_arg_string(input_examples_str):
    input_dict = preprocess_input_exprs_arg_string(input_examples_str)
        ...

在preprocess_input_exprs_arg_string这个函数中,我们发现了一个很敏感的函数eval。


def preprocess_input_exprs_arg_string(input_exprs_str):
    input_dict = {}

for input_raw in filter(bool, input_exprs_str.split(';')):
      ...
        input_key, expr = input_raw.split('=', 1)
       # ast.literal_eval does not work with numpy expressions
      input_dict[input_key] = eval(expr)  # pylint: disable=eval-used
return input_dict

eval的存在,直接让恶意用户通过控制输入来让eval执行任意字符串,导致了代码注入。

这个漏洞在TensorFlow 2.7.0版本被修复,CVE号为CVE-2021-41228。

下图为修复的方法,现在使用了literal_eval来判断是否为合法的类型。


以前写过Python语言安全问题,这篇文章里面介绍的第一个敏感函数就是eval。


那为什么这么牛逼的Google项目还会犯这么低级错误呢?你注意到eval函数上面的注释了吗?如果你要挖这种漏洞,会用什么样的思路,欢迎留言讨论。



参考链接:
1.https://jfrog.com/blog/tensorflow-python-code-injection-more-eval-woes/
2.https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41228
3.https://github.com/tensorflow/tensorflow/security/advisories/GHSA-3rcw-9p9x-582v
4.https://github.com/tensorflow/tensorflow/commit/8b202f08d52e8206af2bdb2112a62fafbc546ec7

YouTube视频黄标研究

P小二一条评论
  1. 视频黄标问题
  2. YouTube算法检测
  3. 对抗YouTube算法检测
  4. 参考资源

YouTube视频黄标问题

YouTube上传的视频,有下面几种标识:

 已开启

 受限

 已开启

 不符合条件

 已关闭

黄标是指:由绿色变成黄色,然后变成有限投放广告或者不能投放广告,影响Youtuber的广告收益。

Google官方是这样解释的:

视频管理器中的视频获利图标会在绿色(正在获利) 或  与黄色(只能投放部分广告或不能投放广告) 或  之间变化。这是因为我们的自动广告系统会对视频进行多次扫描,以确定视频是否符合“适合广告客户投放广告的内容”准则。

YouTube算法检测

封面图安全检测

Google云提供了一个试用的API,可以看到类似的功能

https://cloud.google.com/vision/docs/drag-and-drop

视频内容检测

1.怎么样来规避强算力需求?

不检测每一帧,进行简化处理。比如抽取 每一秒的画面或者进行场景处理

2.Google云 video ai

https://cloud.google.com/video-intelligence/docs/analyze-safesearch

  1. 打标签 几千个标签
  2. 分镜 视频分镜统计 分镜的标签 时间轴物体识别
  3. 时间轴物体识别
  4. 审查结果

语音字幕分析

对抗YouTube算法检测

封面图检测的对抗

视频内容分析的对抗

标题分析的对抗

音频字幕分析的对抗

资源

1.【油管AI】YouTube 是如何判断一个视频是否有违规内容或不适合播放广告?Google Video AI 和 Google Cloud Vision 简介。

https://www.youtube.com/watch?v=AwtV3BKAvQM&feature=youtu.be&ab_channel=%E8%80%81%E8%83%A1%E6%B2%B9%E7%AE%A1%E7%A0%94%E7%A9%B6%E9%99%A2

2.What Experts DON’T Tell You About the Algorithm!

https://www.youtube.com/watch?v=7oEUQl_UNeY&ab_channel=VideoCreators

3.Introduction to Video Intelligence (Google Cloud Next ’17)

https://www.youtube.com/watch?v=y-k8oelbmGc&ab_channel=GoogleCloudPlatform

Hacking with GPT-3

P小二2条评论

自从GPT-3开放API之后,出现了各种脑洞demo,开始挑战认知极限。

英语 到 LaTeX 翻译机

十秒生成一个Google首页

快速设计原型

自然语言到Shell命令互译

还可以帮忙写代码

最近,国外白帽子Ron和Filedescriptor,获得了GPT-3 API的内测资格,先恭喜他们。

他们使用GPT-3 API 对一些漏洞挖掘的场景进行了测试,来看看GPT-3能够给漏洞挖掘带来什么样的能力。

你还能想到网络安全中的哪些场景可以用GPT-3尝试解决呢?欢迎留言和分享。你也可以点击最后的阅读原文关注他们。

GPT-3 API出来之后,我就去申请了试用,目前为止没有通过。国外的开发者拿到试用资格的也比较少。GPT-3除了翻译之外并不支持中文处理,还得再等等。我以前也写过关于GPT-3的文章,可供参考。

如果你认为GPT-3使程序员淘汰,那你大概率不写代码

我也用GPT-2中文版生成过零分作文,可以看看生成的质量如何,也提供了GPT-2的使用教程。

零分作文《生活在树上》

最新Bin2Code框架CodeCMR解读

P小二4条评论

去年看过一篇用图神经网络进行二进制代码相似性分析的论文,主要的目标是把同一份源代码通过不同的编译器,不同的平台,不同的优化选项得到的不同的二进制代码找出来,有兴趣的同学可以看下论文和官方介绍。

论文链接: https://keenlab.tencent.com/en/whitepapers/Ordermatters.pdf

官方介绍:https://keenlab.tencent.com/zh/2019/12/10/Tencent-Keen-Security-Lab-Order-Matters/

最近他们又发了一篇论文,这次在上面任务的基础上升级了,主要是解决给出二进制代码,得到源代码的问题,这给了我这个逆向分析菜鸟一些希望。

论文提出了一个Bin2Code的端到端匹配框架CodeCMR,我们先来看看数据集。

训练的数据集主要由gcc-x64-O0和clang-arm-O3作为两种组合方式,生成了两个30000/10000/10000的训练/验证/测试集。

数据集下载:

https://github.com/binaryai/CodeCMR

我随便取了一个数据:

一个数据集有33列,包括了不同编译器(gcc,clang),不同平台(x86 / x64 / arm / arm64)和不同编译选项的(O1 / O2 / O3)的32种组合。

Index([‘c_label’, ‘gcc-x86-O0’, ‘gcc-x86-O1’, ‘gcc-x86-O2’, ‘gcc-x86-O3’,
‘gcc-x64-O0’, ‘gcc-x64-O1’, ‘gcc-x64-O2’, ‘gcc-x64-O3’, ‘gcc-arm-O0’,
‘gcc-arm-O1’, ‘gcc-arm-O2’, ‘gcc-arm-O3’, ‘gcc-arm64-O0’,
‘gcc-arm64-O1’, ‘gcc-arm64-O2’, ‘gcc-arm64-O3’, ‘clang-x86-O0’,
‘clang-x86-O1’, ‘clang-x86-O2’, ‘clang-x86-O3’, ‘clang-x64-O0’,
‘clang-x64-O1’, ‘clang-x64-O2’, ‘clang-x64-O3’, ‘clang-arm-O0’,
‘clang-arm-O1’, ‘clang-arm-O2’, ‘clang-arm-O3’, ‘clang-arm64-O0’,
‘clang-arm64-O1’, ‘clang-arm64-O2’, ‘clang-arm64-O3’],
dtype=’object’)

我取的源代码是:

static int dump_headers(FILE *inp)
 {
         struct bsid sid;
  while(!ensure_read(&sid, inp))
         {
   size_t s=0;
   dump_sid(&sid);
 s=(sid.Size)+(sid.dwStreamNameSize);
   if(skip_data(inp, s)) return -1;
  }
  return 0;
 }
对于的gcc-x64-O0.nx

seg000:0000000000000000 ; File Name   : \wsl\kali-linux\home\aipwn\Desktop\CodeCMR\CodeCMR\all-arch-nx\81313_1\gcc-x64-O0.nx
 seg000:0000000000000000 ; Format      : Binary file
 seg000:0000000000000000 ; Base Address: 0000h Range: 0000h - 0ADAh Loaded length: 00000ADAh
 seg000:0000000000000000
 seg000:0000000000000000                 .686p
 seg000:0000000000000000                 .mmx
 seg000:0000000000000000                 .model flat
 seg000:0000000000000000
 seg000:0000000000000000 ; ===========================================================================
 seg000:0000000000000000
 seg000:0000000000000000 ; Segment type: Pure code
 seg000:0000000000000000 seg000          segment byte public 'CODE' use64
 seg000:0000000000000000                 assume cs:seg000
 seg000:0000000000000000                 assume es:nothing, ss:nothing, ds:nothing, fs:nothing, gs:nothing
 seg000:0000000000000000                 db  80h ; €
 seg000:0000000000000001 ; ---------------------------------------------------------------------------
 seg000:0000000000000001                 add     al, 95h ; '
 seg000:0000000000000003                 iret
 seg000:0000000000000003 ; ---------------------------------------------------------------------------
 seg000:0000000000000004                 db  0Ah
 seg000:0000000000000005                 align 8
 seg000:0000000000000008                 dq 74656E188C000000h, 6C632E786B726F77h, 69642E7365737361h
 seg000:0000000000000008                 dq 78C946870617267h, 9468706172476944h, 28947D9481299493h
 seg000:0000000000000008                 dq 73696C6A64611A8Ch, 5F72656E6E695F74h, 6361665F74636964h
 seg000:0000000000000008                 dq 62088C9479726F74h, 94736E69746C6975h, 939474636964048Ch
 seg000:0000000000000008                 dq 5F65646F6E118C94h, 6361665F74636964h, 8C08689479726F74h
 seg000:0000000000000008                 dq 74615F6567646516h, 5F746369645F7274h, 9479726F74636166h
 seg000:0000000000000008                 dq 646F6E5F058C0868h, 7D014B28947D9465h, 5F776172088C2894h
 seg000:0000000000000008                 dq 17C589461746164h, 12030202E310000h, 20202002776F6C20h
 seg000:0000000000000008                 dq 6C6C616320012020h, 75736E6524070120h, 2646165725F6572h
 seg000:0000000000000008                 dq 747361663C090107h, 36746E695F5F223Ah, 2826202231612034h
 seg000:0000000000000008                 dq 325F726176250C01h, 222C382E290C0230h, 32612A20454C4946h
 seg000:0000000000000008                 dq 2E69647205012022h, 7D317B0401050238h, 20902382E3E0402h
 seg000:0000000000000008                 dq 12009022C090120h, 502342E78616505h, 104027D367B0401h
 seg000:0000000000000008                 dq 20393433203B2004h, 2C382E6964723D75h, 2C574F4C424C4728h
clang-arm-O3.nx
seg000:0000000000000000 ; File Name   : \wsl\kali-linux\home\aipwn\Desktop\CodeCMR\CodeCMR\all-arch-nx\81313_1\clang-arm-O3.nx
 seg000:0000000000000000 ; Format      : Binary file
 seg000:0000000000000000 ; Base Address: 0000h Range: 0000h - 0809h Loaded length: 00000809h
 seg000:0000000000000000
 seg000:0000000000000000                 .686p
 seg000:0000000000000000                 .mmx
 seg000:0000000000000000                 .model flat
 seg000:0000000000000000
 seg000:0000000000000000 ; ===========================================================================
 seg000:0000000000000000
 seg000:0000000000000000 ; Segment type: Pure code
 seg000:0000000000000000 seg000          segment byte public 'CODE' use64
 seg000:0000000000000000                 assume cs:seg000
 seg000:0000000000000000                 assume es:nothing, ss:nothing, ds:nothing, fs:nothing, gs:nothing
 seg000:0000000000000000                 db  80h ; €
 seg000:0000000000000001                 db    4
 seg000:0000000000000002                 db  95h ; 
 seg000:0000000000000003                 dd offset byte_7FE
 seg000:0000000000000007                 align 8
 seg000:0000000000000008                 dq 74656E188C000000h, 6C632E786B726F77h, 69642E7365737361h
 seg000:0000000000000008                 dq 78C946870617267h, 9468706172476944h, 28947D9481299493h
 seg000:0000000000000008                 dq 73696C6A64611A8Ch, 5F72656E6E695F74h, 6361665F74636964h
 seg000:0000000000000008                 dq 62088C9479726F74h, 94736E69746C6975h, 939474636964048Ch
 seg000:0000000000000008                 dq 5F65646F6E118C94h, 6361665F74636964h, 8C08689479726F74h
 seg000:0000000000000008                 dq 74615F6567646516h, 5F746369645F7274h, 9479726F74636166h
 seg000:0000000000000008                 dq 646F6E5F058C0868h, 7D014B28947D9465h, 5F776172088C2894h
 seg000:0000000000000008                 dq 14C589461746164h, 12030202E310000h, 20202002766F6D20h
 seg000:0000000000000008                 dq 342E307205012020h, 27D317B04010502h, 12009022C090104h
 seg000:0000000000000008                 dq 10502342E357205h, 202004027D317B04h, 2004012020202020h
 seg000:0000000000000008                 dq 3D7520433433203Bh, 20202020342E3072h, 2E35723D64202020h
 seg000:0000000000000008                 dq 31202E310A040234h, 20027A6E6A200120h, 6163200120202020h
 seg000:0000000000000008                 dq 6E65240701206C6Ch, 6165725F65727573h, 61663C0901070264h
 seg000:0000000000000008                 dq 524F57445F3A7473h, 30250C0128262044h, 2C342E290C023078h
 seg000:0000000000000008                 dq 12044524F57445Fh, 10502342E307205h, 2E3E04027D317B04h

literal features

{‘c_str’: [], ‘c_expr’: [2, 65, 61, 57, 64, 52, 65, 2, 65, 35, 65, 65, 61, 48, 57, 64, 65, 35, 65, 65, 49, 48, 57, 64, 48, 52, 65, 65, 61], ‘m_int’: [0, 0, 4294967295, 0, 0], ‘c_state’: [71, 75, 71, 72, 72, 72, 73, 71, 80, 80], ‘c_int’: [0, 4294967295, 0]}


CFG features

[(1, [[10, 56, 79, 73, 83, 74, 73, 74], [55, 80, 73, 73]]), (2, [[4, 75, 73, 78], [56, 79, 73, 83], [12, 78, 8, 78, 73, 73, 78], [44, 10, 56, 79, 73, 74, 12, 78, 8, 78, 73, 73, 73, 73, 73, 75, 80]]), (3, [[4, 75, 73, 74], [55, 80, 73, 73]]), (4, [[10, 56, 79, 73, 83, 74, 73, 74]]), (5, [[44, 74, 75, 80]]), (6, [[4, 75, 73, 74]])]

literal features
{‘c_str’: [], ‘c_expr’: [2, 65, 65, 61, 57, 64, 52, 65, 65, 57, 64, 52, 65, 57, 64, 65, 35, 65, 65, 61, 57, 64, 52, 65, 65, 61, 61], ‘m_int’: [0, 0, 0, 0, 4294967295], ‘c_state’: [71, 72, 73, 71, 80, 75, 71, 72, 73, 71, 78, 73, 71, 80, 80], ‘c_int’: [0, 0, 1, -1]}

CFG features

[(1, [[4, 74, 73, 74], [43, 56, 79, 73, 83, 74, 75, 80]]), (2, [[56, 79, 73, 83], [43, 56, 79, 73, 74, 12, 78, 78, 73, 75, 80]]), (3, [[44, 56, 79, 73, 83, 74, 75, 80]]), (4, [[4, 75, 73, 74], [55, 80, 73, 73]]), (5, [[4, 75, 73, 74]])]

下面我们来看论文的内容

二进制代码和对于的源代码

首先要面对的问题是自动提取特征。除了字符串,立即数,代码里面的隐藏的语义特征很关键。

从模型上看,是把字符级别的源代码,字符串和立即数,二进制代码提取的控制流图,字符串和立即数,这三个不同的输入(语义特征、字符串特征、立即数特征)分别用模型计算得到向量,再用拼接得到代码向量。

再来看看分别处理输入的语义模型

处理源代码的模型是DPCNN,处理二进制代码的是GNN。

实验效果

论文链接:https://keenlab.tencent.com/zh/whitepapers/neurips-2020-cameraready.pdf

官方介绍:https://keenlab.tencent.com/zh/2020/11/03/neurips-2020-cameraready/

官方还出了一个IDA的插件,可以在逆向时使用,相信不久这篇论文的成果也会集成在这个工具里面,可以试用一下。

工具文档:https://binaryai.readthedocs.io/en/stable/

开篇词——你所不知道的神经网络攻防

P小二留下评论

你好,我是P小二,很高兴我又要更新了。

不出意外,你看到这篇的时候,2020年已过去一半。从7月份开始更新,是我立的FLAG。在这里,我想就整个专栏的安排说明一下,也算是给读者一些学习建议。

为什么要出这个专栏?

首先,因为我高兴。我想开一个AI安全的专栏来讨论这方面的学习进展。如果还写得不错,得到了几个赞许,也是大大的幸福感。

其实人们对AI的安全担忧早就有之,不过更多的是从伦理道德和工作层面上进行批判,宣扬AI威胁论。就现在所处的弱人工智能阶段来说,这些担心大可不必,随着深度学习大火,各种攻击AI系统的技术被发明发现,攻击者与防御者的博弈真正的开始了。未知攻焉知防,研究矛,加强盾是一条必经之路。

其次,AI安全是近些年才出现的热潮,世面上的资料质量参差不齐,特别是中文领域没有好的教程。如果能给后来者一些跳坑的经验之谈,已达到了目的。

我要学习,需要什么样的基础

在我看来,你不需要任何基础,你需要是强烈的学习兴趣。

如果你没有编程基础,可以通过网上的一些开源教程补充一些Python语法。
如果你计算机科班毕业,恭喜你,你可以补充一些机器学习的基础知识。
如果你正在读机器学习方向的研究生,太好了,把TF和Pytorch多多玩溜吧。
如果你是博士,欢迎你,加入我们读论文的队伍里来吧,特别需要您。

如果你是安全研究人员,Just do it,整就牛。

我认为的专栏特色

说说和一些课程相同的特色

  • 以实战为主,会有很多练习出现在专栏中
  • 有代码有解答,以jupyter notebook的形式输出
  • 跟进最新的研究进展,会去复现论文,跑通demo
  • 会尝试用视频形式输出,直观易懂

当然我也有不一样的特色,那就是会断更,静静等待就好。

专栏网址: http://aipwn.org/HackingNeuralNetworks
Github: https://github.com/AIPwn/HackingNeuralNetworks
公众号: P小二

知识星球: AI与安全

你可能需要的推荐资源

Python基础:

  • Python编程:从入门到实践
  • Python Cookbook
  • 流畅的Python

机器学习基础:

  • coursera课程: machine learning Standford Andrew Ng
  • coursera课程: Deep Learning Specialization deeplearning.ai
  • Deep Learning: Adaptive Computation and Machine Learning series
  • Deep Learning with Python
  • 动手学深度学习

计算机视觉:

  • cs231n

自然语言处理:

  • coursera课程: Natural Language Processing Specialization deeplearning.ai
  • cs224n
  • Deep Learning for NLP at Oxford with Deep Mind 2017

深度学习框架:

  • coursera课程: TensorFlow in Practice Specialization deeplearning.ai
  • 官方书: deep learning with pytorch
  • keras 官方文档

AI安全科普书:

  • Adversarial Machine Learning(中文版:对抗机器学习:机器学习系统中的攻击和防御)
  • AI安全之对抗样本入门
  • Web安全之强化学习与GAN
  • 人工智能安全

对抗样本比赛:

论文集合:

开源项目:

  • cleverhans
  • adversarial-robustness-toolbox
  • AdvBox
  • foolbox
  • OpenAttack