【misc】[HNCTF 2022 Week1]calc_jail_beginner_level2(JAIL) --沙盒逃逸，嵌套执行getshell

最新推荐文章于 2025-01-08 18:47:54 发布

原创最新推荐文章于 2025-01-08 18:47:54 发布 · 224 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#python #网络 #安全 #网络安全

文章讨论了如何利用Python的eval函数绕过字符串长度限制，实现对os.system的嵌套调用，从而可能导致安全漏洞，即getshell攻击。

查看题目附件

这个if语句直接限制了输入的字符串长度不能大于13，像__import__('os').system('sh')现在肯定用不了，但是可以输入eval(input())进行嵌套执行，这句代码的意思相当于input()继续输入字符串，再由eval函数解析执行，所有就没有了字符长度的限制，然后再输入__import__('os').system('sh')即可getshell

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

GGb0mb

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

【misc】[HNCTF 2022 Week1]calc_jail_beginner(JAIL) --沙盒逃逸

question55的博客

11-08

346

可以通过其他方式完成。回想一下 import 的原理，本质上就是执行一遍导入的库。这个过程实际上可以用。如果多个空格也过滤了，Python 能够 import 的可不止。

NSSCTF逆向刷题记录

fivesheeptree的博客

07-18

2496

得到第一位字符"N"以及flag的长度为35arr数组的长度只有34,故将i的范围改为34s = ['N']

1 条评论您还未登录，请先登录后发表或查看评论

1 条评论

优快云-Ada助手 2023.11.12
恭喜您写了第12篇博客！您对沙盒逃逸和嵌套执行getshell的探讨让我受益匪浅。希望您能继续分享您的学习和研究成果，如果可能的话，我建议您可以尝试探讨一些更深入的技术细节或者实际案例分析，这样可以更好地帮助读者理解和应用这些知识。期待您的下一篇博客！

BUUCTF crackMe

weixin_52369224的博客

11-01

954

太菜了做了好久没做出来，参考其他师傅的解答总结一下题目背景：老规矩，Ex PE打开，32位无壳程序，用IDApro打开；主程序如下：主体是一个while循环，如果我们想让while结束，我们就需要使得两个if成立；我们首先看跟v3有关的loc_4011A0，点进去，发现无法反编译，解决办法IDA无法反编译编译成功之后：发现v3的值一直为1；我们来看看sub_401830函数，主要由两个while构成，我们先来看第一个while 主要是把输入的转换成数字并且..

【misc】[HNCTF 2022 Week1]calc_jail_beginner_level1(JAIL) --沙箱逃逸，python模板注入

question55的博客

11-09

299

即可getshell。

【misc】[HNCTF 2022 Week1]calc_jail_beginner_level2.5(JAIL) --沙盒逃逸，breakpoint函数

question55的博客

11-09

282

_import__('os').system('sh')即可getshell。

第八届强网杯全国网络安全挑战赛Misc题目解析与实战演练项目-包含pickle-jail突破Python沙箱逃逸与Master-of-DFIR系列数字取证事件响应完整调查流程从网络.zip

最新发布

11-13

Google搜索算法原理与代码实现第八届强网杯全国网络安全挑战赛Misc题目解析与实战演练项目_包含pickle_jail突破Python沙箱逃逸与Master_of_DFIR系列数字取证事件响应完整调查流程从网络.zip

armasm 命令选项 --cpreproc 及 --cpreproc_opts说明

平凡之路的博客

07-07

3572

笔者在keil上移植CMSIS DSP函数库时，会出现如下报错信息：打开arm_bitreversal2.S 发现该代码的开头是一些C语言中常见的条件编译和宏定义，如下所示： #if defined ( __CC_ARM ) /* Keil */ #define CODESECT AREA ||.text||, CODE, READONLY, ALIGN=2...

BUUCTF_MISC——[MRCTF2020]ezmisc、荷兰宽带数据泄露、[BJDCTF 2nd]最简单的misc-y1ng

Ho1aAs‘s Blog

10-06

5321

文章目录一、[MRCTF2020]ezmiscⅠ、工具Ⅱ、题解二、荷兰宽带数据泄露Ⅰ、工具Ⅱ、题解三、[BJDCTF 2nd]最简单的misc-y1ngⅠ、工具Ⅱ、题解完一、[MRCTF2020]ezmisc Ⅰ、工具 TweakPNG Winhex Ⅱ、题解使用TweakPNG查看图片，出现chunk报错，即图片尺寸被修改过图片为500x319，怀疑该图片高度遭到篡改使用Winhex打开，红框部分为PNG图片的尺寸数据，为十六进制将后一个改成1F4（16），即500（10）保存即可发

[HNCTF 2022 Week1]calc_jail_beginner_level3(JAIL)

weixin_73049307的博客

11-02

567

os.system('sh')：在导入了 os 模块后，该代码执行了 os.system('sh')。os.system() 函数是用于执行系统命令的，它接受一个字符串参数，将其中的命令在终端或命令提示符中执行。__import__('os')：这是一个使用内置函数 __import__ 来导入 Python 模块 os 的代码。sh 是一个常用的 Unix/Linux 命令行解释器（shell），它是命令行的一个交互式解释器，允许用户输入命令并执行。哦哦，忘了还有对输入字符串进行限制了，换种思路。

[NCTF2022]calc学习

Aiwin的博客

04-01

983

[NCTF2022]calc学习

【misc】[HNCTF 2022 Week1]lake lake lake(JAIL) --沙盒逃逸，globals函数泄露全局变量

question55的博客

11-09

311

查看附件内容这道题的逻辑就是可以让你输入1或者2，进入各自的函数去执行功能func函数：def func(): code = input(">") if(len(code)>9): return print("you're hacker!") try: print(eval(code)) except: pass有长度限制，接着再来看backdoor函数：def backdoor(): print("Please enter the a

【misc】[HNCTF 2022 Week1]python2 input(JAIL) --沙盒逃逸，python2环境

question55的博客

11-09

178

查看附件，这次有点不太一样，这次是python2的环境只有一个input函数，但是python2的input函数可是不太一样：在python2中，函数从标准输入接收输入，并且自动求值，返回求出来的值在python2中，函数从标准输入接收输入，并返回输入字符串在python3中，函数从标准输入接收输入，并返回输入字符串就是说python2环境下的input函数有执行代码的能力，所以输入__import__('os').system('sh')即可getshell

【misc】[HNCTF 2022 Week1]calc_jail_beginner_level3(JAIL) --沙盒逃逸，help函数

question55的博客

11-09

243

ls,!cat flag!!lsls!ls!!ls。

pyjail初了解

Aiwin的博客

05-30

4169

pyjail初了解

[HNCTF 2022 Week1]Challenge__rce

m0_70819573的博客

04-17

1043

由于php变量没有赋值时默认是零，且数组与字符串拼接时返回Array,由此由A自增可以得到全部26位字母通过拼接构造payload.对字符串进行异或操作时，php解析时会将异或结果自动转换为字符串，以其给$_赋值，再通过拼接获取payload。也就是对$a进行取反操作，形成非常规字符绕过限制，在浏览器解析的时候，再还原成原来的payload.而在本题，由于长度限制，所以可以构造参数，再上传参数减少长度。无参RCE,主要方法有三种，取反，自增，异或。这里因为~和^都被过滤了，所以考虑自增。

2022 SWPU新生赛&HNCTF web部分题目

weixin_63231007的博客

11-02

4074

SWPU在start.php 界面抓个包，发包得到：F1l1l1l1l1lag.phpThinkPHP V5 rce 漏洞在网上可以找到现成的payload替换whoami命令为我们要执行的命令即可反序列化构造 assert(eval($_POST[1]));cat /flag即可ez_1zpop之后把属性改大一位，绕过__wakeup()函数numgame查看js源码发现了NsScTf.php。

沙箱逃逸-通过题解了解沙箱逃逸

qq_56815564的博客

05-31

3081

这个系列的最后一题，给了个窗口，先按照提示输入对应的字符看看：G是表明了黑名单，这里不能执行import，不能定义函数，不能使用lambda表达式，可以的就是能执行多行代码。这个时候想到类的定义把带有@的函数放到某个函数的定义处，相当于执行了一次@后的函数后面这个是一个类定义，这里的pass的主要作用就是占据位置，让代码整体完整，定义一个空类会报错尝试执行：进入main函数主体，这个时候就可以通过使用一句话RCE来获取shell了这个系列就结束了，个人觉得还是挺面向新手的，一步一步来吧。

python反序列化+沙箱逃逸++js+redis

2301_81133475的博客

01-08

1104

草文，发上来挂着python反序列化。

CTF MISC在我眼里各种奇奇怪怪的题学习思路总结（持续更新）

超大青花鱼的博客

09-18

1205

这一篇主要记录我遇到的我以前没见过也没想过的题，总之奇奇怪怪的知识又增加了。