URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 137500
[ Назад ]
Исходное сообщение
"Достижение выполнения кода при контроле над текстом комментария в Python-скрипте"
Отправлено opennews , 03-Авг-25 09:03 
Один из участников соревнования UIUCTF 2025, подробно разобрал, как ему удалось выполнить задание, требующее добиться выполнения своего кода на сервере, имея лишь возможность изменения содержимого текста комментария в коде...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=63669

Содержание
Сообщения в этом обсуждении
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 09:03 
Давайте встроим в язык управление пакетами, это ж так удобно!
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 09:13 
Главное в современном безопасном языке - автоматическое освобождение памяти, а то программисты забывают это делать.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 09:42 
Потом будут забывать, какой знак сравнения ставить (так-то было уже), плюс или минус между числами, забывать проверку входных данных, паролей, ключей...
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 09:45 
Раньше было лучше... Раньше было лучше... Во, теперь збс!
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:38 
Менеджер паролей встроим в интепретатор. Пэтому никто не забудет.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:56 
ИИ решит обозначенные проблемы.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено 12yoexpert , 03-Авг-25 09:41 
# cat /etc/portage/package.mask/pip
dev-python/pip
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:49 
> Давайте встроим в язык управление пакетами, это ж так удобно!

Причем здесь управление пакетами? Ты вообще не понял, о чем шла речь.

Господи, и плюстки же этому комментарию ставят... 🤦 Опеннет не меняется.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 14:31 
Это ты не понял, а большинство как раз поняли. Подумай еще раз.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 13:21 
> Давайте встроим в язык управление пакетами

Не в язык и не управление пакетами, а очень удобную фичу. Как получить один исполняемый файл, чтобы можно было его закинуть куда-нибудь в .local/bin и пользоваться? Можно, конечно, все настрочить в один файл на пару тысяч строк, но то такое себе. А тут - зипанул папку с полноценным пакетом, подкинул в ЗИП шибанг, поставил +x и дело в шляпе.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 13:28 
Сорян, но чтобы это понять надо, во-первых, быть знакомым с Питоном и, во-вторых, читать новость. А судя по плюсикам к исходному комментарию, среднестатистический опеннетный эксперт не силен ни в первом, ни во втором.

Зато увидели знакомые слова и навалили экспертизы.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 14:23 
>А судя по плюсикам к исходному комментарию, среднестатистический опеннетный эксперт не силен ни в первом, ни во втором.

За то ты братишка силен в юмор, тут не поспоришь :)

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 15:10 
> Сорян, но чтобы это понять надо, во-первых, быть знакомым с Питоном

Или с жабой (JAR/APK), вот уж что точно пропустить сложно было - если конечно не "входильщик в ойти за 14 дней".

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 14:33 
флатпак? аппимидж? докер?

нет, давайте встроим в питон кофеварку, ведь всем известно что кофе заваривать надо языком программирования, а не специально предназначенным для этого инструментом.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 15:27 
> флатпак? аппимидж? докер?

О, пошли отмазки и спрыги местной кекспертизы.
> нет, давайте встроим в питон кофеварку, ведь всем известно что кофе заваривать

Балаболка^W Эксперд, поинтересуйся для начала, когда появились твои фэтпаки и дыркеры.

А потом обоснуй, чем прибитые болтами к пянгвинчику фэтпаки -- лучше _кросплатформеного_ решения на десяток (ну или сотню, если заодно и сжатие поддерживать) KiB, работающего чуть ли не на тостере и "побочным" эффектом от которого является "батарейка" для работы с ZIP из коробки?

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 15:31 
> флатпак? аппимидж? докер?

Во-первых, все эти сущности либо не существовали, либо были в зачаточном состоянии и не были распространены, когда данную фичу добавили в питон 2.6.
Во-вторых, в случае с флетпак и докером, ты предлагаешь обмазать систему зависимостями на 200-500 метров ради пары скриптов? Вспоминаем, что гну/Линукс - это не только десктопы и сервера, но и всякие роутеры, 3д принтеры и т.д.
Про опакечивание в аппимейдж, честно говоря, я мало знаю, но я не думаю, что это будет так же просто, как python -m zipapp.

> нет, давайте встроим в питон кофеварку, ведь всем известно что кофе заваривать
> надо языком программирования, а не специально предназначенным для этого инструментом.

Не языком, а интерпретатором...
Короче, мне лень тебе объяснять. Если есть желание, можешь сам открыть документацию по питону, разобрать понятия пакет и модуль в данном контексте, почитать описание опции -m интерпретатора питона и напоследок - для чего существует файл __main__.py. Может тогда ты не будешь писать ахинею про кофеварку.

Короче, ИМХО, это очень удобное дополнение.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 09:21 
В своё время бесил питон блендера, который ещё и залазил в манагер пакетов для определения последнего установленного питона.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 09:25 
Не нравится - создай свой язык программирования.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 09:44 
Да и вообще запретить багрепорты! Не нравится - пиши сам!
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 10:12 
Не нравится комментарий - пиши комментарий сам!
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:03 
Не нравится мнение - имей своё собственное мнение!
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 15:31 
>See Fig. 1

же.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 15:32 
https://www.dourish.com/goodies/see-figure-1.html
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 14:29 
>Не нравится - создай свой язык программирования.

Ну напишет он свой язык, КАК это помешает питону лезть в манагер пакетов?

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 15:41 
> Ну напишет он свой язык, КАК это помешает питону лезть в манагер пакетов?

Никак. Правда, "питон" и не лезет - лезет погроммист, решивший поупражнятся в удалении гланд автогеном через задний проход.
Хотя в этом случае, скорее всего -- "погроммист из опеннетных фатназий", потому что проверять версию питона лазаньем в "манагер пакетов" (которых для самых популярных дистров из 4% - наверняка с полдюжины наберется) удобно только в фантазиях. В реальности проще вызвать "python --version" -- оно сработает и на маке и на венде и даже в слаке.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 09:28 
Python самый лучший язык программирования.
Это вам не тысяча глаз, а миллионы глаз!
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 09:54 
Одно выравние пробелами чего стоит. Простой мёрж веток случайно может всё поломать. То есть язык не предназначен для активной разработки большой (больше 2-3 разработчиков) командой.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 10:09 
Доля рынка - вещью упрямая!
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 11:05 
Скорее "лень - двигатель прогресса"
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 11:25 
Проблемы с отступами признак спагетти кода
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено _kp , 03-Авг-25 14:04 
Это не в тему, "спагетти" на чем угодно преданные фанаты г0внокода пишут.

Хоть мне прибитый соплями стить и не нравится, но главные проблемы не в пробелах.
1. Работа с двоичными данными на Питоне - или говнокод, или свех неэффективно. А реальные файлы и протоколы уж какте есть.
2. Если скачать проект на Питоне, то сильно не факт что он вообще запустится, ибо начинается перебор совместимых библиотек или правка исходникк под те что есть. С другими популярными языками такого цирка нет.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 15:41 
Уж лучше лазанья код, чем спагетти. А про вайп код (просто умолчим, именно вайп разновидность, а не про вайб.)
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено User , 03-Авг-25 12:29 
Ох уж эти рассказы о совместной разработке на python'е от тех, кто ни совместной разработкой, ни python'ом отродясь не пользовался...
Копипасти со stackoverflow аккуратней и всё у тебя получится - даже офис-менеджеры уже освоили, один ты всё страдаешь.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:55 
> Копипасти со stackoverflow аккуратней

Уровень этого ресурса очень низок, решения не оптимальные, иногда не работающие (в отличие от хабра, впрочем, это плюс - у того вообще не работающие).

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:43 
Но серьёзный(?) компилируемый Nim тоже выбрал пробелы.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Фрол , 03-Авг-25 11:18 
> Это вам не тысяча глаз, а миллионы глаз!

...вытекших

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:10 
Миллионы мух не могут ошибаться.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Anonim , 03-Авг-25 13:11 
Про это не скажу, но точно знаю, что некоторые анонимы опеннета всегда правы.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 15:14 
Зачем ты ассоциируешь себя с мухой?
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено 12yoexpert , 03-Авг-25 09:38 
бред для олимпиадников головного мозга
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 13:29 
ждем рекомендаций от оваспа, фильтруйте входные данные в комментариях :)
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 09:47 
Какой ужас! Хакнуть код, который ты можешь редактировать!
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Юзер Минта , 03-Авг-25 10:22 
Интересно, как именно собираются исправлять это теперь
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:15 
Запретить комментарии и вообще брейнфакинт-синтаксис в языках.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:48 
Для начала нужно запретить новые регистрации с inbox.ru, а дальше надо думать что делать.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:53 
> Интересно, как именно собираются исправлять это теперь

Это буквально "хакер и солонка", что там исправлять? Написано же, что у "атакующего" должна быть возможность редактирования компентариев в атакуемом коде.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 10:28 
Самое ужасное во всём это то, что автор вайбкодил:

> In general, AI has helped me a lot in this CTF.
> ...I think we will see a new era of AI-assisted security engineering.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 10:41 
>"автор вайбкодил"

Ну если программисты годами хвастались своей ЗП и условиями труда, не удивительно что ломанулись "войти в IT" - снизив таким образом ЗП до прожиточного минимума.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Маняним1 , 03-Авг-25 11:34 
Тут недавно один стартап, перенасыщенный эффективными менеджерами, поувольнял большую часть разработчиков выплатив им компенсации и пр., даже несчастных джунов и набрал колдунов общающихся со сверхразумом - ИИ. Менеджеры рассчитали экономию в $40 млн. на инструментах которым доверяет рынок, но внезапно разработка встала колом и пришлось возвращать всех взад, даже несчастных джунов, не получив экономии, а получив убыток в $17млн.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 13:31 
Microsoft недавно уволил тысячи инжернров, в т.ч. миддлов - и сокращения все еще в процессе. И что там у них с убытками, не подскажешь?
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 10:49 
> Самое ужасное во всём это то, что автор вайбкодил:

Боже, надеюсь дети этого не видели.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:45 
Теперь скриптодети будут вайбкиддить.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Fracta1L , 03-Авг-25 11:16 
Что ужасного?
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:33 
Что ужасного в том, что хирургами будут философы, сверяющие во время операции твои кишки с картинками из интернета, обработанными ИИ?
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Fracta1L , 03-Авг-25 12:36 
Принимай таблетки вовремя
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 13:24 
> Что ужасного в том, что хирургами будут философы

Очередной мастер аналогий 🤦. Тебе задали конкретный вопрос в контексте конкретного случая, а ты вместо ответа несешь какой то выдуманный абсурдный бред.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 13:32 
> какой то выдуманный абсурдный бред

а твой комент не такой же "выдуманный абсурдный бред"? или ты конкретно ответил на вопрос " Что ужасного в том, что хирургами будут философы"?

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Fracta1L , 03-Авг-25 15:37 
Эти бедолаги пытаются хоть как-то рационализировать свои боли из-за ИИ)
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:05 
Вот интересно кто им платит чтобы на каждый чих прославлять ИИ.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Fracta1L , 03-Авг-25 12:26 
Луддиты платят своими смешными корчами)
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 14:38 
>Вот интересно кто им платит чтобы на каждый чих прославлять ИИ.

Ну ты смешной! Скайнет давно пиарит сама себя.
Пара людских поколений такого пиара, и с кожаными даже не придется воевать :)

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:52 
ДЫРЯВЫЙ ПИТОН !!!111
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 15:47 
7 байтники таблетки приняли