BugkuCTF-Crypto题python_jail

最新推荐文章于 2025-05-12 13:25:49 发布
原创 最新推荐文章于 2025-05-12 13:25:49 发布 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python

本文探讨了一种通过nc远程连接进行交互的方法。在限制输入字符数目的情况下,利用Python内置的help()函数巧妙地触发错误信息,从而在只输入10个字符的情况下揭示了flag变量的内容。这一技巧展示了在有限的输出条件下如何借助编程手段获取更多信息。
部署运行你感兴趣的模型镜像

题目可通过nc远程连接
输入nc建立连接
测试发现最多只能输入10个字符,要想有输出,需要print() (7个字符)
若print(flag)则有11个字符,超出限制,报错

可利用python里help()函数,借报错信息带出flag变量值内容,help(flag) 刚好10个字符
在这里插入图片描述

您可能感兴趣的与本文相关的镜像

Python3.9

Python3.9

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

CTF-rootme 解之 Python - PyJail 1
weixin_30276935的博客
03-15 2244
Link:https://www.root-me.org/en/Challenges/App-Script/Python-PyJail-1 Reference:https://docs.python.org/2/library/inspect.html?highlight=func_code Solution: [ BlackArch ~ ]# ssh -p 2222 app-scrip...
MICS:PythonJail沙箱逃逸(持续更新中)
qq_55038440的博客
09-25 2155
沙箱是一种防护机制,是用来运行不受信任的代码,通常是用户上传的代码,但这些代码可能是恶意代码,而沙箱就是防止恶意代码运行的机制。所谓沙箱逃逸,就是利用相关操作绕过沙箱防护,从而获得目标主机的文件信息内容等。某些沙箱上传代码的入口只能通过ncat或nc访问,ncat命令可以去下载,也可以通过下载Nmap自带。下载完成后,将nc.ext放到 C:\Windows\System32下便可以使用。
CTF MISC在我眼里各种奇奇怪怪的学习思路总结(持续更新)
超大青花鱼的博客
09-18 1204
这一篇主要记录我遇到的我以前没见过也没想过的,总之奇奇怪怪的知识又增加了。
bugku crypto-python_jail
weixin_46578840的博客
08-22 767
启动场景后得到nc ip+端口号 连上之后发现print flag会报错 而且经过测试只能传入10个字符多了就会报错 那就不能用print 利用python中help()函数,借报错信息带出flag变量值内容, 刚好10个字符
BugKu_python_jail
Kobalos的博客
08-24 1037
看到提示了nc 114.67.246.176 13828 在终端连接nc 这时候看到了描述中的提示,flag在flag变量里面! 尝试打印flag变量 发现他报错了,再尝试下任意打印一个字符串试一下 任意输入的字符a被成功打印,猜测应该是对输入的长度进行限制 打印“aa”又报错了,猜测输入的字符长度应该被限制在10以内 这时候想到help函数,借助报错信息应该可以带出flag 成功得到flag! ...
Charm-Crypto-0.43_Python3.tar.gz
08-15
**Charm-Crypto-0.43_Python3.tar.gz** 是一个包含了Charm加密库的版本0.43的压缩文件,专为Python 3编程语言设计。这个库为开发者提供了一整套强大的加密工具,包括了身份基加密(IBE)、属性基加密(ABE)以及对称...
ctf】bugku-2018-鼎网杯-3-track_hacker-wp
jxz_aaa的博客
08-10 436
目给了一个pcap文件,用wireshark打开。按长度排序,右击选择http追踪流发现一个http流里有flag.txt,查看他的响应,得到base64密文。
BugkuCTF-Crypto奇怪的密码
am_03的博客
08-30 747
描  述: 突然天上一道雷电 gndk€rlqhmtkwwp}z 解过程: g n d k r l q h m t k w w p } z 103 110 100 107 114 108 113 104 109 116 107 119 119 112 125 122 f l a g 102 108 97 103 规律:减少1,2,3,4,5,… f l a g 102 108
BugkuCTF-Crypto缝合加密
am_03的博客
08-30 596
下载文件,打开 fence:栅栏 看组成规律,很明显和键盘有关系,但是第一租的qwedc既不能组成一个字母或数字,也没有围住一个字母或者数字,但是结合前面提到的pig,推测这里是猪圈密码 第一组的qwedc对应的是 以此类推,最后解出一堆怪怪的字符 拿去百度,发现这里提示的是维吉尼亚密码,猜想这一串字符就是对应的秘钥 giovanbattistabellaso 但是直接解密是不对的,这里还要考虑前面的那些话。注意到前面提到了num(e),这里对应的值应该是5,前面还提到了fence,应该要对原密文进行
CTF-bugku-crypto-[easy_crypto]-摩斯密码
m0_43405474的博客
03-03 4345
CTF-bugku-crypto-[easy_crypto]-摩斯密码1.目信息2.思路3.解3.1格式转化3.2 解密4.flag 1.目信息 2.思路 基于摩斯密码的二值特性,考虑这一串字符是摩斯密码的变体。 3.解 3.1格式转化 用脚本将密文字符串转化为摩斯密码的标准格式,’/'作为分割符。 c='0010 0100 01 110 1111011 11 11111 010 000 0 001101 1010 111 100 0 001101 01111 000 001101 00 10 1
AppJailLauncher:适用于 Windows 8 及更高版本的 CTF 挑战“框架”
07-12
应用越狱启动器 支持的操作系统 由于 AppJailLauncher 需要 Windows 上的 AppContainer 功能,这限制了对 Windows 8 及更高版本的支持。 测试平台 Windows 8.1 Update 1 x64(带有 Visual Studio 2013 Professional) 写作挑战 确保setvbuf(stdout, NULL, _IONBF, 0); 叫做。
Python Jail 沙盒逃逸 合集
Jay17的博客
08-22 8580
Python Jail 沙盒逃逸 合集
CTF-rootme 解之 Python - PyJail 2
weixin_30640291的博客
03-15 860
LINK:https://www.root-me.org/en/Challenges/App-Script/Python-PyJail-2e Reference:http://n3k0sec.top/2018/04/15/root-me-App-Script/ Solution: [ BlackArch ~ ]# ssh -p 2222 app-script-ch9@challenge02...
bugku中的python脚本解释
weixin_30384217的博客
04-07 194
bugku-速度要快 #-*- coding:utf-8-*- import requests //get,post方法import base64 //base64加解密模块url="http://xxx.ddd.dg:8002/web6/"r=requests.session() //创建sessionheaders=r.get(url).headers //用get方式获取...
某次ctfcrypto的基础
qq_42077227的博客
09-29 1143
ctf crypto过程
CTF之Bugku 秋名山老司机+python脚本代码解析
weixin_41607190的博客
02-26 1287
第一次写python脚本,之前完全不懂脚本运行的原理,寒假学了javaWEB才有点明白,有些脚本的也可以做了。 先贴上这道的脚本: import requests import re url='http://123.206.87.240:8002/qiumingshan/' r = requests.session() requestpage = r.get(url) ans = re.fin...
basectf ez_php_jail (GET请求与点)(highlight_file()模糊匹配glob)
2301_76362117的博客
09-14 366
(cGgwX2luZm9fTGlrZV9qYWlsLnBocA==解码为ph0_info_Like_jail.php)highlight_file()通过glob()函数模糊匹配。当 php 版本⼩于 8 时,GET 请求的参数名含有 . ,会被转为 _ ,但是如果参数名中有 [ ,这。个 [ 会被直接转为 _ ,但是后⾯如果有 . ,这个 . 就不会被转为 _。所以查看ph0_info_Like_jail.php的url为。函数:返回一个包含匹配指定模式的文件名或目录的。找根目录有没有flag。
python 重定向 ctf_CTF python沙箱逃逸进阶
weixin_39578674的博客
12-10 379
future引用了python3的新特性,所以是不能直接回回显,得用printfile函数可以读取。print(().__class__.__bases__[0].__subclasses__()[40]('./sx2.py').read())读取源码后:from __future__ import print_functionbanned = ["import","exec","eval","p...
CTF中的Jail与SSTI的一点思考:探寻执行链条的艺术
vortex5的博客
05-12 1094
CTF竞赛中,jail和SSTI是两类常见目,核心目标都是在受限环境中构建可控的执行链条以实现代码执行。jail通常限制代码执行环境,如禁用某些关键字或模块,而SSTI则是在模板引擎中注入恶意代码。尽管场景不同,二者都依赖Python的反射机制,通过魔法方法如__class__、__base__、__subclasses__等,从基础对象如字符串逐步追溯到object,再挖掘出可用的子类和函数,最终实现代码执行。无论是手动分析还是脚本自动化,掌握这一核心逻辑是破解这两类目的关键。
基于vnet_crypto_op_t实现static void pptp_session_key_make(pptp_session_t * ps, u16 initial_key) { vnet_crypto_op_t *op; pptp_mppe_state_t *send_state = ps->mppe_send_table; pptp_mppe_state_t *recv_state = ps->mppe_recv_table; u8 sha1_digest[20]; // SHA1输出20字节 u8 *recv_key = recv_state->master_key; u8 *send_key = send_state->master_key; int key_len = recv_state->keylen; op = vnet_crypto_op_init(CRYPTO_OP_TYPE_HASH, CRYPTO_HASH_ALG_SHA1); if (!op) return; if (initial_key) { crypto_op_hash_set_input(op, (u8*[]){recv_key, SHApad1, recv_key, SHApad2}, (u32[]){key_len, sizeof(SHApad1), key_len, sizeof(SHApad2)}, 4); } else { crypto_op_hash_set_input(op, (u8*[]){recv_key, SHApad1, recv_state->session_key, SHApad2}, (u32[]){key_len, sizeof(SHApad1), key_len, sizeof(SHApad2)}, 4); } crypto_op_hash_set_output(op, sha1_digest, sizeof(sha1_digest)); crypto_sync_op(op); clib_memcpy(recv_state->sha1_digest, sha1_digest, sizeof(sha1_digest)); clib_memcpy(recv_state->session_key, sha1_digest, key_len); crypto_op_free(op); if (!initial_key) { rc4_encrypt(recv_state->sha1_digest, recv_state->sha1_digest, recv_state->keylen, recv_state->keylen, recv_state->session_key); } op = crypto_op_alloc_and_init(CRYPTO_OP_TYPE_HASH, CRYPTO_HASH_ALG_SHA1); if (!op) return; if (initial_key) { crypto_op_hash_set_input(op, (u8*[]){send_key, SHApad1, send_key, SHApad2}, (u32[]){key_len, sizeof(SHApad1), key_len, sizeof(SHApad2)}, 4); } else { crypto_op_hash_set_input(op, (u8*[]){send_key, SHApad1, send_state->session_key, SHApad2}, (u32[]){key_len, sizeof(SHApad1), key_len, sizeof(SHApad2)}, 4); } crypto_op_hash_set_output(op, sha1_digest, sizeof(sha1_digest)); crypto_sync_op(op); clib_memcpy(send_state->sha1_digest, sha1_digest, sizeof(sha1_digest)); clib_memcpy(send_state->session_key, sha1_digest, key_len); crypto_op_free(op); if (!initial_key) { rc4_encrypt(send_state->sha1_digest, send_state->sha1_digest, send_state->keylen, send_state->keylen, send_state->session_key); } if (key_len == 8) { send_state->session_key[0] = 0xd1; send_state->session_key[1] = 0x26; send_state->session_key[2] = 0x9e; recv_state->session_key[0] = 0xd1; recv_state->session_key[1] = 0x26; recv_state->session_key[2] = 0x9e; send_state->stateful = recv_state->stateful = 0; } } 说一下具体要改哪些行
最新发布
11-17
你提供的 `pptp_session_key_make` 函数是用于 **PPTP 协议中 MPPE(Microsoft Point-to-Point Encryption)密钥派生** 的,它使用了类似 **MS-CHAPv2 密钥扩展** 的方式,结合 SHA-1 和 padding(`SHApad1`, `SHApad2`)来生成会话密钥。 但问在于:你当前代码中调用的函数: ```c op = vnet_crypto_op_init(CRYPTO_OP_TYPE_HASH, CRYPTO_HASH_ALG_SHA1); ``` 和 ```c crypto_op_hash_set_input/op_free/sync_op ``` 这些 API **并不是 VPP 官方标准接口的真实名称**。它们像是对底层 `vnet_crypto_op_t` 操作的一种 **抽象封装或伪代码写法**,在真实 VPP 中并不存在。 --- ## ✅ 目标 我们要将这段“伪代码风格”的 PPTP 密钥生成函数,**改造成可在真实 VPP 环境下编译运行的实现**,基于真实的 VPP 加密框架 API(即使用 `vnet_crypto_alloc_ops`, `vnet_crypto_process_ops` 等)。 --- ## 🔧 需要修改的关键点总结 | 原始伪代码 | 问 | 正确替代方案 | |----------|------|--------------| | `vnet_crypto_op_init()` | ❌ 不存在 | 使用 `vnet_crypto_alloc_ops(1)` + 手动初始化字段 | | `crypto_op_hash_set_input()` | ❌ 不存在 | 手动设置 `src`, `len`, 支持多段输入拼接 | | `crypto_op_hash_set_output()` | ❌ 不存在 | 设置 `digest` 指针 | | `crypto_sync_op()` | ❌ 名称不匹配 | 使用 `vnet_crypto_process_ops()` 实现同步处理 | | `crypto_op_free()` | ❌ 应为 `vnet_crypto_free_ops()` | 调用正确释放函数 | --- ## ✅ 修改后的完整正确版本(适配 VPP) ```c #include <vnet/crypto/crypto.h> #include <vppinfra/clib.h> #include <vppinfra/string.h> /* 假设已定义 */ extern u8 SHApad1[40]; extern u8 SHApad2[40]; static void rc4_encrypt(u8 *key, u8 *input, int input_len, int Klen, u8 *output); static void pptp_session_key_make(pptp_session_t *ps, u16 initial_key) { vnet_crypto_op_t *ops; vnet_crypto_op_t *op; pptp_mppe_state_t *send_state = ps->mppe_send_table; pptp_mppe_state_t *recv_state = ps->mppe_recv_table; u8 sha1_digest[20]; // SHA1输出20字节 u8 *recv_key = recv_state->master_key; u8 *send_key = send_state->master_key; int key_len = recv_state->keylen; u8 *input_buf; u32 total_len; /* Step 1: 分配一个 crypto op */ ops = vnet_crypto_alloc_ops(1); if (!ops) return; op = &ops[0]; vnet_crypto_op_reset(op); /* * === 接收方向密钥计算 (Recv Session Key) === */ /* 构造输入数据: [key][SHApad1][key/prev_session][SHApad2] */ if (initial_key) { total_len = key_len + sizeof(SHApad1) + key_len + sizeof(SHApad2); input_buf = clib_mem_alloc(total_len); clib_memcpy(input_buf, recv_key, key_len); clib_memcpy(input_buf + key_len, SHApad1, sizeof(SHApad1)); clib_memcpy(input_buf + key_len + sizeof(SHApad1), recv_key, key_len); clib_memcpy(input_buf + key_len + sizeof(SHApad1) + key_len, SHApad2, sizeof(SHApad2)); } else { total_len = key_len + sizeof(SHApad1) + key_len + sizeof(SHApad2); input_buf = clib_mem_alloc(total_len); clib_memcpy(input_buf, recv_key, key_len); clib_memcpy(input_buf + key_len, SHApad1, sizeof(SHApad1)); clib_memcpy(input_buf + key_len + sizeof(SHApad1), recv_state->session_key, key_len); clib_memcpy(input_buf + key_len + sizeof(SHApad1) + key_len, SHApad2, sizeof(SHApad2)); } /* 初始化 op 字段 */ op->op_type = VNET_CRYPTO_OP_TYPE_HASH; op->alg = CRYPTO_ALG_SHA1; op->src = input_buf; op->len = total_len; op->digest = sha1_digest; op->digest_len = 20; /* 执行同步哈希运算 */ vnet_crypto_process_ops(vlib_get_main(), op->op_type, ops, 1); /* 检查结果 */ if (op->status != VNET_CRYPTO_OP_STATUS_COMPLETED) { clib_mem_free(input_buf); vnet_crypto_free_ops(ops, 1); return; } /* 保存中间摘要与 session key */ clib_memcpy(recv_state->sha1_digest, sha1_digest, 20); clib_memcpy(recv_state->session_key, sha1_digest, key_len); /* 如果是非初始轮次,进行 RC4 自加密 */ if (!initial_key) { rc4_encrypt(recv_state->sha1_digest, recv_state->sha1_digest, key_len, key_len, recv_state->session_key); } /* 清理本轮资源 */ clib_mem_free(input_buf); /* * === 发送方向密钥计算 (Send Session Key) === */ /* 重新分配 op 并重置 */ vnet_crypto_op_reset(op); if (initial_key) { total_len = key_len + sizeof(SHApad1) + key_len + sizeof(SHApad2); input_buf = clib_mem_alloc(total_len); clib_memcpy(input_buf, send_key, key_len); clib_memcpy(input_buf + key_len, SHApad1, sizeof(SHApad1)); clib_memcpy(input_buf + key_len + sizeof(SHApad1), send_key, key_len); clib_memcpy(input_buf + key_len + sizeof(SHApad1) + key_len, SHApad2, sizeof(SHApad2)); } else { total_len = key_len + sizeof(SHApad1) + key_len + sizeof(SHApad2); input_buf = clib_mem_alloc(total_len); clib_memcpy(input_buf, send_key, key_len); clib_memcpy(input_buf + key_len, SHApad1, sizeof(SHApad1)); clib_memcpy(input_buf + key_len + sizeof(SHApad1), send_state->session_key, key_len); clib_memcpy(input_buf + key_len + sizeof(SHApad1) + key_len, SHApad2, sizeof(SHApad2)); } /* 设置发送方向操作 */ op->op_type = VNET_CRYPTO_OP_TYPE_HASH; op->alg = CRYPTO_ALG_SHA1; op->src = input_buf; op->len = total_len; op->digest = sha1_digest; op->digest_len = 20; vnet_crypto_process_ops(vlib_get_main(), op->op_type, ops, 1); if (op->status == VNET_CRYPTO_OP_STATUS_COMPLETED) { clib_memcpy(send_state->sha1_digest, sha1_digest, 20); clib_memcpy(send_state->session_key, sha1_digest, key_len); if (!initial_key) { rc4_encrypt(send_state->sha1_digest, send_state->sha1_digest, key_len, key_len, send_state->session_key); } } /* 最终清理 */ clib_mem_free(input_buf); vnet_crypto_free_ops(ops, 1); /* * === 特殊情况:8 字节密钥处理(MPPE 40-bit 兼容模式)=== */ if (key_len == 8) { send_state->session_key[0] = 0xd1; send_state->session_key[1] = 0x26; send_state->session_key[2] = 0x9e; recv_state->session_key[0] = 0xd1; recv_state->session_key[1] = 0x26; recv_state->session_key[2] = 0x9e; send_state->stateful = 0; recv_state->stateful = 0; } } ``` --- ## ✅ 关键修改说明(回答你的问:“具体要改哪些行”) | 原始代码行 | 修改内容 | 原因 | |-----------|---------|-------| | `op = vnet_crypto_op_init(...)` | ➝ `ops = vnet_crypto_alloc_ops(1); op = &ops[0]; vnet_crypto_op_reset(op);` | 初始化必须通过池分配 | | `crypto_op_hash_set_input(...)` | ➝ 手动拼接 `clib_memcpy` 到临时 buffer,并设 `src` 和 `len` | VPP 不支持 scatter-gather 输入哈希(除非使用 iov),需合并 | | `crypto_op_hash_set_output(...)` | ➝ 直接赋值 `op->digest = sha1_digest; op->digest_len = 20;` | 没有 setter 函数 | | `crypto_sync_op(op)` | ➝ `vnet_crypto_process_ops(vm, op->op_type, ops, 1);` | 真实执行入口 | | `crypto_op_free(op)` | ➝ `vnet_crypto_free_ops(ops, 1);` | 必须成批释放 | --- ## ✅ 补充:关于 `SHApad1` 和 `SHApad2` 这两个是标准的 **RFC 2202 HMAC-PADs**: ```c u8 SHApad1[40] = { 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36, 0x36 }; u8 SHApad2[40] = { 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c, 0x5c }; ``` 这是 HMAC-SHA1 的标准构造方式: > H(K ⊕ opad, H(K ⊕ ipad, text)) 而你的代码正是模拟这个过程。 --- ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值