Posted inNote

เจาะลึกช่องโหว่ Python: ไขปริศนา “Execute Me If You Can” ในโลก CTF

Posted inNote

เจาะลึกช่องโหว่ Python: ไขปริศนา “Execute Me If You Can” ในโลก CTF

เคยสงสัยไหมว่าโลกของ Capture The Flag (CTF) ทำงานอย่างไร?

วันนี้จะพาไปสำรวจหนึ่งในความท้าทายที่น่าสนใจ นั่นคือการค้นหาและใช้ประโยชน์จากช่องโหว่ในโค้ด Python ที่ถูกซ่อนไว้เบื้องหลังไฟล์ธรรมดา

การทำความเข้าใจไฟล์ที่ไม่คุ้นเคย มักเป็นจุดเริ่มต้นของการค้นพบช่องโหว่ด้านความปลอดภัย

ถอดรหัสไฟล์ที่ซ่อนอยู่

เมื่อเจอไฟล์ .pyc ไฟล์นี้คือโค้ด Python ที่ถูก คอมไพล์ แล้ว หรือที่เรียกว่า Python bytecode ไม่ใช่ไฟล์ต้นฉบับที่เป็น .py โดยตรง ทำให้การอ่านโค้ดทำได้ยากขึ้น

ในสถานการณ์นี้ การทำ Decompilation หรือถอดรหัส bytecode ให้กลับเป็นโค้ด Python ที่อ่านได้ จึงเป็นขั้นตอนแรกที่สำคัญ

เครื่องมืออย่าง uncompyle6 ช่วยเปิดเผยโครงสร้างและตรรกะการทำงานของโปรแกรมที่ซ่อนอยู่

เมื่อถอดรหัส โค้ดจะรับอินพุตและพยายามรันคำสั่งบางอย่าง แต่ก็มีกลไกป้องกันที่คอย บล็อก หรือกรองคำสั่งอันตรายออกไป

อันตรายจาก exec() และการป้องกันที่เปราะบาง

หัวใจของความท้าทายนี้อยู่ที่ฟังก์ชัน exec() ของ Python

ฟังก์ชันนี้มีความสามารถในการ ประมวลผลสตริง ให้กลายเป็นโค้ด Python ที่สามารถทำงานได้ทันที

นี่คือคุณสมบัติที่ทรงพลัง แต่ก็อันตรายมาก หากนำไปใช้กับ อินพุตที่ผู้ใช้ป้อนเข้ามา โดยไม่มีการตรวจสอบที่ดีพอ

ในสถานการณ์นี้ โค้ดมีการพยายามป้องกันด้วยการ แบล็กลิสต์ หรือบล็อกคำสำคัญที่อาจก่อให้เกิดอันตราย เช่น os, import, sys, subprocess, open, eval รวมถึงเครื่องหมาย . และ _

ดูเผิน ๆ เหมือนจะปลอดภัย แต่ในโลกของ cybersecurity การแบล็กลิสต์มักไม่เพียงพอ

มีวิธีมากมายที่จะ เลี่ยงผ่าน การตรวจสอบเหล่านี้

กลยุทธ์การเจาะทะลุข้อจำกัด

เมื่อเผชิญกับการแบล็กลิสต์ คำถามคือจะทำอย่างไรให้สามารถรันคำสั่งที่เราต้องการได้ โดยไม่ถูกตรวจจับ?

นี่คือจุดที่ความเข้าใจอย่างลึกซึ้งเกี่ยวกับ โครงสร้างภายในของ Python มีความสำคัญ

วิธีการหนึ่งที่นิยมใช้คือการเข้าถึง __builtins__

สิ่งนี้คือโมดูลพิเศษที่เก็บฟังก์ชันและคลาสพื้นฐานทั้งหมดของ Python ไว้

ภายใน __builtins__ ยังมีฟังก์ชัน __import__ ซ่อนอยู่ ซึ่งสามารถใช้ เรียกใช้งานโมดูลใด ๆ ได้ แม้ว่าคำว่า import จะถูกบล็อกก็ตาม

ดังนั้น การสร้าง payload หรือชุดคำสั่งจึงเริ่มต้นด้วยการใช้ __builtins__.__import__('os').system('cat flag.txt')

คำสั่งนี้หมายถึงการเรียกใช้โมดูล os (ซึ่งถูกบล็อกคำว่า os โดยตรง แต่ไม่บล็อก __import__('os')) แล้วจึงสั่งให้รันคำสั่ง system() เพื่ออ่านไฟล์ flag.txt นั่นเอง

นอกจากนี้ ยังมีการจำกัด ความยาวของอินพุต อีกด้วย ทำให้ต้องพยายามหาทางเขียนโค้ดให้สั้นที่สุดเท่าที่จะทำได้ เพื่อให้ payload ยังทำงานได้และไม่ถูกตัดทอนไป

บทเรียนจากความท้าทาย

การเจาะระบบแบบนี้แสดงให้เห็นว่า การพึ่งพาการ แบล็กลิสต์ เพียงอย่างเดียว ไม่ใช่การป้องกันที่แข็งแกร่ง

เพราะยังมีอีกหลายวิธีที่ผู้โจมตีสามารถ หลบเลี่ยง หรือ บายพาส ข้อจำกัดได้

บทเรียนสำคัญคือ การระมัดระวังในการใช้ฟังก์ชันที่สามารถประมวลผลโค้ดจากอินพุตของผู้ใช้ เช่น exec() หรือ eval()

ควรหลีกเลี่ยงการใช้งานฟังก์ชันเหล่านี้ หากไม่จำเป็นจริง ๆ

หากต้องใช้ ควรมีการ ตรวจสอบและกรองอินพุต อย่างเข้มงวด ด้วยวิธีการที่ปลอดภัยกว่าการแบล็กลิสต์คำสำคัญทั่วไป

การเข้าใจช่องโหว่เหล่านี้เป็นสิ่งสำคัญสำหรับนักพัฒนาซอฟต์แวร์และผู้ที่ทำงานด้านความปลอดภัย เพื่อสร้างระบบที่ แข็งแกร่งและปลอดภัย มากยิ่งขึ้นในโลกดิจิทัล

Tags: