[Imaginary CTF] – how r u

Diberikan sebuah source code dari Python 2.7, mari kita lihat codingannya.

Pada line 1, tertera shebang bahwa codingan ini berjalan di Python 2.7. Lalu ada try dan except, cara kerja simplenya yaitu apapun yang didalam try akan dijalankan, jika ada error maka except akan ditampilkan.

Berhubung ada vulnerability pada input di versi Python 2.x (Reference : Vulnerability in input function Python 2.x for Data Science – PST Analytics), maka kita bisa mencoba import sesuatu dengan builtin function __import__

Ternyata exploit import OS berjalan! maka saya coba untuk list directory siapa tahu ada file flag yang dibutuhkan.

Tertera file flag.txt, tinggal kita open dengan command ‘cat flag.txt’

flag : ictf{n3v3r_3v3r_3v3r_3v3r_u53_1npu7_1n_pyth0n2}

Leave a Reply

Your email address will not be published. Required fields are marked *