Jail 【Python沙箱逃逸问题合集】

借助NSS平台题目，以2022年HNCTF为例展开分析

背景：
由于目前很多赛事有时候会出现一些pyjail的题目，因此在这里总结一下以便以后遇见可以轻松应对。
注：由于Python3中的unicode特性，所以也会见到unicode碰撞的题目，因此利用下面脚本可以获取一些常用的碰撞unicode。
exp:

1. from unicodedata import normalize
2. from string import ascii_lowercase
3. from collections import defaultdict
5. lst = list(ascii_lowercase)
6. dic = defaultdict(list)
7. for char in lst:
8.     for i in range(0x110000):
9.         if normalize("NFKC", chr(i)) == char:
10.             dic[char].append(chr(i))
11.         if len(dic[char]) > 9:
12.             break
13. print(dic)

复制代码

[HNCTF 2022 Week1]calc_jail_beginner(JAIL)

连接靶机进入题目

1. nc node5.anna.nssctf.cn 28565                                                                                                    ─╯
3.   _     ______      _                              _       _ _
4. | |   |  ____|    (_)                            | |     (_) |
5. | |__ | |__   __ _ _ _ __  _ __   ___ _ __       | | __ _ _| |
6. | '_ \|  __| / _` | | '_ \| '_ \ / _ \ '__|  _   | |/ _` | | |
7. | |_) | |___| (_| | | | | | | | |  __/ |    | |__| | (_| | | |
8. |_.__/|______\__, |_|_| |_|_| |_|\___|_|     \____/ \__,_|_|_|
9.                __/ |                                          
10.               |___/                                            
12. Welcome to the python jail
13. Let's have an beginner jail of calc
14. Enter your expression and I will evaluate it for you.
15. >

复制代码

签到题，一把梭

1. open("flag").read()

复制代码

1. Welcome to the python jail
2. Let's have an beginner jail of calc
3. Enter your expression and I will evaluate it for you.
4. > open("flag").read()
5. Answer: flag=NSSCTF{25df994d-430f-498d-a4dd-ddb660ada60e}

复制代码

[HNCTF 2022 Week1]python2 input(JAIL)

连接靶机进入题目

1. nc node5.anna.nssctf.cn 28167                                                                                                    ─╯
3.               _   _      ___        ___    _____             _    _ _   
4.              | | | |    / _ \      |__ \  |_   _|           | |  | | |  
5.   _ __  _   _| |_| |__ | | | |_ __    ) |   | |  _ __  _ __ | |  | | |_
6. | '_ \| | | | __| '_ \| | | | '_ \  / /    | | | '_ \| '_ \| |  | | __|
7. | |_) | |_| | |_| | | | |_| | | | |/ /_   _| |_| | | | |_) | |__| | |_
8. | .__/ \__, |\__|_| |_|\___/|_| |_|____| |_____|_| |_| .__/ \____/ \__|
9. | |     __/ |                                        | |               
10. |_|    |___/                                         |_|                              
12. Welcome to the python jail
13. But this program will repeat your messages
14. >

复制代码

1. __import__("os").system("cat flag")

复制代码

1. Welcome to the python jail
2. But this program will repeat your messages
3. > __import__("os").system("cat flag")
4. flag=NSSCTF{2d86dce6-3763-438d-9e8e-554b267c1da6}
5. 0

复制代码

[HNCTF 2022 Week1]calc_jail_beginner_level1(JAIL)

附件信息

1. #the function of filter will banned some string ',",i,b
2. #it seems banned some payload
3. #Can u escape it?Good luck!
5. def filter(s):
6.     not_allowed = set('"\'`ib')
7.     return any(c in not_allowed for c in s)
9. WELCOME = '''
10.   _                _                           _       _ _   _                _ __
11. | |              (_)                         (_)     (_) | | |              | /_ |
12. | |__   ___  __ _ _ _ __  _ __   ___ _ __     _  __ _ _| | | | _____   _____| || |
13. | '_ \ / _ \/ _` | | '_ \| '_ \ / _ \ '__|   | |/ _` | | | | |/ _ \ \ / / _ \ || |
14. | |_) |  __/ (_| | | | | | | | |  __/ |      | | (_| | | | | |  __/\ V /  __/ || |
15. |_.__/ \___|\__, |_|_| |_|_| |_|\___|_|      | |\__,_|_|_| |_|\___| \_/ \___|_||_|
16.               __/ |                          _/ |                                 
17.              |___/                          |__/                                                                                      
18. '''
20. print(WELCOME)
22. print("Welcome to the python jail")
23. print("Let's have an beginner jail of calc")
24. print("Enter your expression and I will evaluate it for you.")
25. input_data = input("> ")
26. if filter(input_data):
27.     print("Oh hacker!")
28.     exit(0)
29. print('Answer: {}'.format(eval(input_data)))

复制代码

连接靶机进入题目

1. nc node5.anna.nssctf.cn 28239                                                                                                    ─╯
3.   _                _                           _       _ _   _                _ __
4. | |              (_)                         (_)     (_) | | |              | /_ |
5. | |__   ___  __ _ _ _ __  _ __   ___ _ __     _  __ _ _| | | | _____   _____| || |
6. | '_ \ / _ \/ _` | | '_ \| '_ \ / _ \ '__|   | |/ _` | | | | |/ _ \ \ / / _ \ || |
7. | |_) |  __/ (_| | | | | | | | |  __/ |      | | (_| | | | | |  __/\ V /  __/ || |
8. |_.__/ \___|\__, |_|_| |_|_| |_|\___|_|      | |\__,_|_|_| |_|\___| \_/ \___|_||_|
9.               __/ |                          _/ |                                 
10.              |___/                          |__/                                                                                      
12. Welcome to the python jail
13. Let's have an beginner jail of calc
14. Enter your expression and I will evaluate it for you.
15. >

复制代码

过滤了部分字符，使用chr拼接flag

1. open(chr(102)+chr(108)+chr(97)+chr(103)).read()

复制代码

1. Welcome to the python jail
2. Let's have an beginner jail of calc
3. Enter your expression and I will evaluate it for you.
4. > open(chr(102)+chr(108)+chr(97)+chr(103)).read()
5. Answer: flag=NSSCTF{37ce5cec-7057-42d9-97fd-09b4ebc0e443}

复制代码

[HNCTF 2022 Week1]calc_jail_beginner_level2(JAIL)

附件信息

1. #the length is be limited less than 13
2. #it seems banned some payload
3. #Can u escape it?Good luck!
5. WELCOME = '''
6.   _                _                           _       _ _   _                _ ___  
7. | |              (_)                         (_)     (_) | | |              | |__ \
8. | |__   ___  __ _ _ _ __  _ __   ___ _ __     _  __ _ _| | | | _____   _____| |  ) |
9. | '_ \ / _ \/ _` | | '_ \| '_ \ / _ \ '__|   | |/ _` | | | | |/ _ \ \ / / _ \ | / /
10. | |_) |  __/ (_| | | | | | | | |  __/ |      | | (_| | | | | |  __/\ V /  __/ |/ /_
11. |_.__/ \___|\__, |_|_| |_|_| |_|\___|_|      | |\__,_|_|_| |_|\___| \_/ \___|_|____|
12.               __/ |                          _/ |                                    
13.              |___/                          |__/                                                                           
14. '''
16. print(WELCOME)
18. print("Welcome to the python jail")
19. print("Let's have an beginner jail of calc")
20. print("Enter your expression and I will evaluate it for you.")
21. input_data = input("> ")
22. if len(input_data)>13:
23.     print("Oh hacker!")
24.     exit(0)
25. print('Answer: {}'.format(eval(input_data)))

复制代码

连接靶机

1. nc node5.anna.nssctf.cn 28837                                                                                                    ─╯
3.   _                _                           _       _ _   _                _ ___  
4. | |              (_)                         (_)     (_) | | |              | |__ \
5. | |__   ___  __ _ _ _ __  _ __   ___ _ __     _  __ _ _| | | | _____   _____| |  ) |
6. | '_ \ / _ \/ _` | | '_ \| '_ \ / _ \ '__|   | |/ _` | | | | |/ _ \ \ / / _ \ | / /
7. | |_) |  __/ (_| | | | | | | | |  __/ |      | | (_| | | | | |  __/\ V /  __/ |/ /_
8. |_.__/ \___|\__, |_|_| |_|_| |_|\___|_|      | |\__,_|_|_| |_|\___| \_/ \___|_|____|
9.               __/ |                          _/ |                                    
10.              |___/                          |__/                                                                           
12. Welcome to the python jail
13. Let's have an beginner jail of calc
14. Enter your expression and I will evaluate it for you.
15. >

复制代码

限制了输入的字符长度不大于13

1. eval(input())

复制代码

这样就可以不限制输入并且执行了

1. Welcome to the python jail
2. Let's have an beginner jail of calc
3. Enter your expression and I will evaluate it for you.
4. > eval(input())
5. open("flag").read()
6. Answer: flag=NSSCTF{48ba857a-34ec-4f31-ad69-726ef76d28c8}

复制代码

[HNCTF 2022 Week1]calc_jail_beginner_level2.5(JAIL)

附件信息

1. #the length is be limited less than 13
2. #it seems banned some payload
3. #banned some unintend sol
4. #Can u escape it?Good luck!
6. def filter(s):
7.     BLACKLIST = ["exec","input","eval"]
8.     for i in BLACKLIST:
9.         if i in s:
10.             print(f'{i!r} has been banned for security reasons')
11.             exit(0)
13. WELCOME = '''
14.   _                _                           _       _ _ _                _ ___    _____
15. | |              (_)                         (_)     (_) | |              | |__ \  | ____|
16. | |__   ___  __ _ _ _ __  _ __   ___ _ __     _  __ _ _| | | _____   _____| |  ) | | |__  
17. | '_ \ / _ \/ _` | | '_ \| '_ \ / _ \ '__|   | |/ _` | | | |/ _ \ \ / / _ \ | / /  |___ \
18. | |_) |  __/ (_| | | | | | | | |  __/ |      | | (_| | | | |  __/\ V /  __/ |/ /_ _ ___) |
19. |_.__/ \___|\__, |_|_| |_|_| |_|\___|_|      | |\__,_|_|_|_|\___| \_/ \___|_|____(_)____/
20.               __/ |                          _/ |                                          
21.              |___/                          |__/                                                                                                            
22. '''
24. print(WELCOME)
26. print("Welcome to the python jail")
27. print("Let's have an beginner jail of calc")
28. print("Enter your expression and I will evaluate it for you.")
29. input_data = input("> ")
30. filter(input_data)
31. if len(input_data)>13:
32.     print("Oh hacker!")
33.     exit(0)
34. print('Answer: {}'.format(eval(input_data)))

复制代码

2.5在level2基础上既有过滤又有长度限制。浅试了一下大概ban了eval、input、exec这几个字符，但是python中存在unicode的注入，所以直接调用level2的payload改下unicode就OK了，可使用背景处的碰撞脚本实现。
[code]
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！