OrangeKiller CTF 第 3 期

admin 2022年9月27日09:16:33评论86 views字数 564阅读1分52秒阅读模式

🍊 OrangeKiller CTF 第 3 期

短文不计入篇数
题图摄于:杭州 · 西湖


本次同样没有题目描述,因为题目是可自解释的形式,所有所需的信息、源码等信息都在页面里。题目考点也比较明显,不需要花大量时间理解考点。

一共 3 题,have fun!

☁️ 题目

🌧 baby rce

一共 3 题:

  • baby rce
  • baby rce's revenge
  • baby rce's re-revenge

题目链接:
https://baby-python-rce.herokuapp.com/


简单介绍一下题目吧。

第一题是热身题,没啥特别的。

第二道题正如 Tornado 那篇所说,它来源于虎符杯决赛后,自己发起的一挑战:

OrangeKiller CTF 第 3 期

第三道题的难度更上一层楼。同时也意味着,如果能做出这道题,那么对于 CTF 中绝大多数的 SSTI(非自定义语法)和沙箱逃逸题是可以秒杀的 OrangeKiller CTF 第 3 期

需要注意的是,以上三道题目的环境均为 Python 3.x,并且这三道题目的 flag 是一个,因为主要目的还是考察如何绕过限制条件去 RCE,我比较懒,就不分环境部署了。

本来打算 writeup 一起发出来的,但是由于本次 wp 涉及到 Python 沙箱逃逸的通解的探索,而整个探索过程又非常非常有趣 OrangeKiller CTF 第 3 期所以我会单独成(shui)发布。


别催了在写了
咕咕咕...国庆前一定!
OrangeKiller CTF 第 3 期

原文始发于微信公众号(橘子杀手):OrangeKiller CTF 第 3 期

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月27日09:16:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   OrangeKiller CTF 第 3 期http://cn-sec.com/archives/1317642.html

发表评论

匿名网友 填写信息