URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 137500
[ Назад ]
Исходное сообщение
"Достижение выполнения кода при контроле над текстом комментария в Python-скрипте"
Отправлено opennews , 03-Авг-25 09:03 
Один из участников соревнования UIUCTF 2025, подробно разобрал, как ему удалось выполнить задание, требующее добиться выполнения своего кода на сервере, имея лишь возможность изменения содержимого текста комментария в коде...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63669

Содержание
Сообщения в этом обсуждении
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 09:03 
Давайте встроим в язык управление пакетами, это ж так удобно!
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 09:13 
Главное в современном безопасном языке - автоматическое освобождение памяти, а то программисты забывают это делать.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 09:42 
Потом будут забывать, какой знак сравнения ставить (так-то было уже), плюс или минус между числами, забывать проверку входных данных, паролей, ключей...
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 09:45 
Раньше было лучше... Раньше было лучше... Во, теперь збс!
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:38 
Менеджер паролей встроим в интепретатор. Пэтому никто не забудет.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:56 
ИИ решит обозначенные проблемы.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Минона , 03-Авг-25 22:04 
Скайнет?
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 16:07 
> Главное в современном безопасном языке - автоматическое освобождение памяти,
> а то программисты забывают это делать.

А автоматической кормушки и поилки нет? На случай если они начнут проносить ложку мимо рта.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено 12yoexpert , 03-Авг-25 09:41 
# cat /etc/portage/package.mask/pip
dev-python/pip
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Минона , 03-Авг-25 22:03 
Ты это к чему?
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Admino , 05-Авг-25 17:55 
Что-то на 12-летнем.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:49 
> Давайте встроим в язык управление пакетами, это ж так удобно!

Причем здесь управление пакетами? Ты вообще не понял, о чем шла речь.

Господи, и плюстки же этому комментарию ставят... 🤦 Опеннет не меняется.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 14:31 
Это ты не понял, а большинство как раз поняли. Подумай еще раз.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено 12yoexpert , 03-Авг-25 19:27 
а чего ты хотел от "человека" (назовём это так для упрощения), который использует графические смайлики в комментариях?
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено ruroruro , 04-Авг-25 10:29 
Не, не. Он как раз прав. Тут "управление пакетами" (в смысле штука которая занимается установкой/удалением библиотек/программ из интернета) ни при чем.

В данной ситуации, проблема в системе импортов (штука, которая определяет, как обрабатываются запросы из серии "найди и загрузи модуль, который называется {blah}" или "выполни вот этот {path} как скрипт, пожалуйста").

Словосочетание "Python-пакет" в новости упоминается просто потому что "package" - это единица организации/группировки кода. В смысле "функция/класс" > "файл" > "модуль" > "пакет".

То что "пакет" это к тому же ещё и единица, которой обычно оперируют при установке библиотек/программ - в данной ситуации мало релевантно (даже на самом деле там словом "пакет" называется слегка другая сущность, так что вообще не в тему).

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 13:21 
> Давайте встроим в язык управление пакетами

Не в язык и не управление пакетами, а очень удобную фичу. Как получить один исполняемый файл, чтобы можно было его закинуть куда-нибудь в .local/bin и пользоваться? Можно, конечно, все настрочить в один файл на пару тысяч строк, но то такое себе. А тут - зипанул папку с полноценным пакетом, подкинул в ЗИП шибанг, поставил +x и дело в шляпе.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 13:28 
Сорян, но чтобы это понять надо, во-первых, быть знакомым с Питоном и, во-вторых, читать новость. А судя по плюсикам к исходному комментарию, среднестатистический опеннетный эксперт не силен ни в первом, ни во втором.

Зато увидели знакомые слова и навалили экспертизы.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 14:23 
>А судя по плюсикам к исходному комментарию, среднестатистический опеннетный эксперт не силен ни в первом, ни во втором.

За то ты братишка силен в юмор, тут не поспоришь :)

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 15:10 
> Сорян, но чтобы это понять надо, во-первых, быть знакомым с Питоном

Или с жабой (JAR/APK), вот уж что точно пропустить сложно было - если конечно не "входильщик в ойти за 14 дней".

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 14:33 
флатпак? аппимидж? докер?

нет, давайте встроим в питон кофеварку, ведь всем известно что кофе заваривать надо языком программирования, а не специально предназначенным для этого инструментом.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 15:27 
> флатпак? аппимидж? докер?

О, пошли отмазки и спрыги местной кекспертизы.
> нет, давайте встроим в питон кофеварку, ведь всем известно что кофе заваривать

Балаболка^W Эксперд, поинтересуйся для начала, когда появились твои фэтпаки и дыркеры.

А потом обоснуй, чем прибитые болтами к пянгвинчику фэтпаки -- лучше _кросплатформеного_ решения на десяток (ну или сотню, если заодно и сжатие поддерживать) KiB, работающего чуть ли не на тостере и "побочным" эффектом от которого является "батарейка" для работы с ZIP из коробки?

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 15:31 
> флатпак? аппимидж? докер?

Во-первых, все эти сущности либо не существовали, либо были в зачаточном состоянии и не были распространены, когда данную фичу добавили в питон 2.6.
Во-вторых, в случае с флетпак и докером, ты предлагаешь обмазать систему зависимостями на 200-500 метров ради пары скриптов? Вспоминаем, что гну/Линукс - это не только десктопы и сервера, но и всякие роутеры, 3д принтеры и т.д.
Про опакечивание в аппимейдж, честно говоря, я мало знаю, но я не думаю, что это будет так же просто, как python -m zipapp.

> нет, давайте встроим в питон кофеварку, ведь всем известно что кофе заваривать
> надо языком программирования, а не специально предназначенным для этого инструментом.

Не языком, а интерпретатором...
Короче, мне лень тебе объяснять. Если есть желание, можешь сам открыть документацию по питону, разобрать понятия пакет и модуль в данном контексте, почитать описание опции -m интерпретатора питона и напоследок - для чего существует файл __main__.py. Может тогда ты не будешь писать ахинею про кофеварку.

Короче, ИМХО, это очень удобное дополнение.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 16:09 
Справедливости ради, проблема не в том, что файл сурса может интерпретироваться по разному, а в том, что это сценарий уровня "качаю из pip всё что попало прям во время деплоя". Сервер буквально читает рандомный код из интернета и исполняет его.

Зипку в сурсах при коммите достаточно легко обнаружить. Если, конечно, кто-нибудь вообще читает сурсы своих зависимостей.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 16:40 
> Сервер буквально читает рандомный код из интернета и исполняет его.

Прямо как любой дистрибутив линукса с пакетами. Но ты смотри не путай, в питоне — смузихлёбы какие-то, а в дистрибутиве — заслуженные господа мейнтейнеры! Это понимать надо!

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 09:21 
В своё время бесил питон блендера, который ещё и залазил в манагер пакетов для определения последнего установленного питона.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 09:28 
Python самый лучший язык программирования.
Это вам не тысяча глаз, а миллионы глаз!
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 09:54 
Одно выравние пробелами чего стоит. Простой мёрж веток случайно может всё поломать. То есть язык не предназначен для активной разработки большой (больше 2-3 разработчиков) командой.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 10:09 
Доля рынка - вещью упрямая!
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 11:05 
Скорее "лень - двигатель прогресса"
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 04-Авг-25 14:05 
Какие ещё у вас есть оправдания?
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено 12yoexpert , 03-Авг-25 19:30 
не все тут работают на рынке
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено 1 , 04-Авг-25 09:38 
Ну да, некоторым приходиться работать в ларьках.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 11:25 
Проблемы с отступами признак спагетти кода
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено _kp , 03-Авг-25 14:04 
Это не в тему, "спагетти" на чем угодно преданные фанаты г0внокода пишут.

Хоть мне прибитый соплями стить и не нравится, но главные проблемы не в пробелах.
1. Работа с двоичными данными на Питоне - или говнокод, или свех неэффективно. А реальные файлы и протоколы уж какте есть.
2. Если скачать проект на Питоне, то сильно не факт что он вообще запустится, ибо начинается перебор совместимых библиотек или правка исходникк под те что есть. С другими популярными языками такого цирка нет.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 15:41 
Уж лучше лазанья код, чем спагетти. А про вайп код (просто умолчим, именно вайп разновидность, а не про вайб.)
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Илья , 04-Авг-25 07:09 
> Проблемы с отступами признак спагетти кода

Спагетти-код это не лучшая практика, но распространённая. Язык должен поддерживать спагетти и быть устойчивым к форматированию

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено User , 03-Авг-25 12:29 
Ох уж эти рассказы о совместной разработке на python'е от тех, кто ни совместной разработкой, ни python'ом отродясь не пользовался...
Копипасти со stackoverflow аккуратней и всё у тебя получится - даже офис-менеджеры уже освоили, один ты всё страдаешь.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:55 
> Копипасти со stackoverflow аккуратней

Уровень этого ресурса очень низок, решения не оптимальные, иногда не работающие (в отличие от хабра, впрочем, это плюс - у того вообще не работающие).

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:43 
Но серьёзный(?) компилируемый Nim тоже выбрал пробелы.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено 12yoexpert , 03-Авг-25 19:31 
ага, тот самый язык, единственную книгу о котором можно купить исключительно на блевотном амазон, где работает автор языка (если не учитывать древнющую nim in action)

домохозяйкам, конечно, норм по туториалам язык учить, им и дебаггер не нужен, которого под nim нет, можно же принтами дебажить, чё

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Илья , 04-Авг-25 07:05 
Это как говорить, что BASIC лучший.

Питон получил свою долю хайпа на бесконечных курсах, "как стать программистом питон за два дня".

Там нет порядка, очень низкий уровень у разработчиков. Часто сталкиваюсь с тем, что проекты, которые писали на питоне надо выкидывать и с нуля переписывать. С другими технологиями такого не видел.

Сам в жизни не возьму питон для разработки, крайне негативно отношусь к нему

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 04-Авг-25 08:51 
> Сам в жизни не возьму питон для разработки

А какой скриптовый язык предлагаете вместо него? Особенно в области Machine Learning и матанализа?

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Илья , 04-Авг-25 13:49 
>> Сам в жизни не возьму питон для разработки
> А какой скриптовый язык предлагаете вместо него? Особенно в области Machine Learning
> и матанализа?

f#

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 05-Авг-25 02:37 
Питон отличный доя своей ниши - писать скрипты.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 09:47 
Какой ужас! Хакнуть код, который ты можешь редактировать!
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Юзер Минта , 03-Авг-25 10:22 
Интересно, как именно собираются исправлять это теперь
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:15 
Запретить комментарии и вообще брейнфакинт-синтаксис в языках.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:48 
Для начала нужно запретить новые регистрации с inbox.ru, а дальше надо думать что делать.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:53 
> Интересно, как именно собираются исправлять это теперь

Это буквально "хакер и солонка", что там исправлять? Написано же, что у "атакующего" должна быть возможность редактирования компентариев в атакуемом коде.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено torvn77 , 03-Авг-25 18:31 
>> Интересно, как именно собираются исправлять это теперь
> Это буквально "хакер и солонка", что там исправлять? Написано же, что у
> "атакующего" должна быть возможность редактирования компентариев в атакуемом коде.

Как бы то ни было, теперь придётся проверять всё, и код, и комментарии.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 19:14 
> Как бы то ни было, теперь придётся проверять всё, и код, и комментарии.

Нет, не придется. Вы, по-моему, вообще не поняли, о чем говориться в новости.

Это игрушечное задание, в котором вам дают возможность вставить не игрушечном сервере произвольный текст в комментарий скрипта. Я хз, что опеннетные эксперты собрались там проверять и фиксить. Цирк да и только...

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено torvn77 , 03-Авг-25 19:57 
>> Как бы то ни было, теперь придётся проверять всё, и код, и комментарии.
> Нет, не придется. Вы, по-моему, вообще не поняли, о чем говориться в
> новости.
> Это игрушечное задание, в котором вам дают возможность вставить не игрушечном сервере
> произвольный текст в комментарий скрипта. Я хз, что опеннетные эксперты собрались
> там проверять и фиксить. Цирк да и только...

Это если ты скрипт сам писал, а если это программа из репозитория?

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 20:25 
> а если это программа из репозитория?

Что "если"? Я не понимаю, в чем вы видите проблему.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 10:28 
Самое ужасное во всём это то, что автор вайбкодил:

> In general, AI has helped me a lot in this CTF.
> ...I think we will see a new era of AI-assisted security engineering.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 10:41 
>"автор вайбкодил"

Ну если программисты годами хвастались своей ЗП и условиями труда, не удивительно что ломанулись "войти в IT" - снизив таким образом ЗП до прожиточного минимума.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Маняним1 , 03-Авг-25 11:34 
Тут недавно один стартап, перенасыщенный эффективными менеджерами, поувольнял большую часть разработчиков выплатив им компенсации и пр., даже несчастных джунов и набрал колдунов общающихся со сверхразумом - ИИ. Менеджеры рассчитали экономию в $40 млн. на инструментах которым доверяет рынок, но внезапно разработка встала колом и пришлось возвращать всех взад, даже несчастных джунов, не получив экономии, а получив убыток в $17млн.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 13:31 
Microsoft недавно уволил тысячи инжернров, в т.ч. миддлов - и сокращения все еще в процессе. И что там у них с убытками, не подскажешь?
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 04-Авг-25 20:26 
Давай посмотрим работали ли они над актуальными проектами и заменили ли их при этом AI. Либо это просто балласт был. А так-то микрософт, как известно, может переквалифицироваться в производителя мороженного, так что смотреть на него не надо - он играючи может себе позволить ошибочный ход ценой в миллиард долларов который любую другую контору похоронит.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 16:32 
> Microsoft недавно уволил тысячи инжернров, в т.ч. миддлов - и сокращения все еще в процессе. И что там у них с убытками, не подскажешь?

Сарказм понятен. Но вот факт: в Excel те самые ошибки во встроенных функциях и справке идут еще с версии 97. Т.е., все эти десятилетия переписывается только интерфейс. Поэтому думаю, что никаких убытков наша любимая компания не понесет.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 10:49 
> Самое ужасное во всём это то, что автор вайбкодил:

Боже, надеюсь дети этого не видели.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:45 
Теперь скриптодети будут вайбкиддить.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Fracta1L , 03-Авг-25 11:16 
Что ужасного?
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:33 
Что ужасного в том, что хирургами будут философы, сверяющие во время операции твои кишки с картинками из интернета, обработанными ИИ?
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 13:24 
> Что ужасного в том, что хирургами будут философы

Очередной мастер аналогий 🤦. Тебе задали конкретный вопрос в контексте конкретного случая, а ты вместо ответа несешь какой то выдуманный абсурдный бред.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 13:32 
> какой то выдуманный абсурдный бред

а твой комент не такой же "выдуманный абсурдный бред"? или ты конкретно ответил на вопрос " Что ужасного в том, что хирургами будут философы"?

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 04-Авг-25 08:54 
> а твой комент не такой же "выдуманный абсурдный бред"?

Что конкретно он выдумал?

> или ты конкретно ответил на вопрос " Что ужасного в том, что хирургами будут философы"?

Это был бредовый *риторический* вопрос. Он не подразумевает ответа, потому что является утверждением.

Детский сад, ей богу...

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено torvn77 , 05-Авг-25 22:34 
>> какой то выдуманный абсурдный бред
> а твой комент не такой же "выдуманный абсурдный бред"? или ты конкретно
> ответил на вопрос " Что ужасного в том, что хирургами будут
> философы"?

Скажу тебе народную мудрость: хороший хирург это не тот кто не портачит, а тот кто напортачив умеет выходить из ситуации, с ним по спокойнее.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Fracta1L , 03-Авг-25 15:37 
Эти бедолаги пытаются хоть как-то рационализировать свои боли из-за ИИ)
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 20:35 
Это не рационализация - это галлюцинирования похлеще ИИ восьмилетней давности.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 21:21 
Когда тyпая ллм не понимает аналогий
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Fracta1L , 03-Авг-25 21:32 
Такую "аналогию" только тупой и поймёт)
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 12:05 
Вот интересно кто им платит чтобы на каждый чих прославлять ИИ.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Fracta1L , 03-Авг-25 12:26 
Луддиты платят своими смешными корчами)
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 14:38 
>Вот интересно кто им платит чтобы на каждый чих прославлять ИИ.

Ну ты смешной! Скайнет давно пиарит сама себя.
Пара людских поколений такого пиара, и с кожаными даже не придется воевать :)

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 20:51 
> и с кожаными даже не придется воевать

В смысле, "отключить им интернет-электричество и подождать с месяц-два, потом дронами прочесать тайгу-африку-сахару (это если тотальная зачистка нужна, так-то ничего оставшиеся уже сделать не смогут, ибо копьем и дедовыми вилами дрона сбить можно только при большой удаче")?

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Tron is Whistling , 03-Авг-25 17:27 
Оно што, реально прямо из середины файла готово ZIP достать и сожрать?
У того, кто это сделал, с головой всё нормально было?
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 03-Авг-25 19:24 
> Оно што, реально прямо из середины файла готово ZIP достать и сожрать?

Буквально как и любой ZIP-архиватор, прикинь? В новости все технические детали описаны, что непонятного?

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Tron is Whistling , 03-Авг-25 22:07 
То есть пыхтон - это ZIP-архиватор.
Я так и знал.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 04-Авг-25 01:10 
> То есть пыхтон - это ZIP-архиватор.
> Я так и знал.

Т.е. в "пыхтоне" использовали назло (тем редким, еще иногда вспоминающим о присяге) опеннетным Военам Супротив Пыхтона готовую либу, вместо изобретения лисапеда.

А возможность достать "с середины файлы" (потому что читается zip "с конца") - это вообще-то фича формата, позволяющая достаточно дешево и сердито (особенно на хардах-дискетах конца 80х) добавлять в архив новые файлы без перезаписи всего и вся.


"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 04-Авг-25 08:17 
> А возможность достать "с середины файлы" (потому что читается zip "с конца") - это вообще-то фича формата

Сорян, но уже поздно: ты же видишь, что эксперт не всосал новость, но уже успел обличить Python. Теперь обратного хода у него нет - нужно воевать до последнего, продолжая нести чушь и игнорируя факты.

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Tron is Whistling , 04-Авг-25 08:42 
Ну молодцы, чего. Криворукий дизайн 80 lvl.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 04-Авг-25 09:07 
> Ну молодцы, чего. Криворукий дизайн 80 lvl.

Опеннетные экспрты в 2025 году наконец-то узнали об устройстве ZIP-архивов.😭

Что же теперь делать будешь? На RAR перекатываться?😂

>> возможность достать "с середины файлы" (потому что читается zip "с конца") - это вообще-то фича формата, позволяющая достаточно дешево и сердито (особенно на хардах-дискетах конца 80х) добавлять в архив новые файлы без перезаписи всего и вся.
> Криворукий дизайн 80 lvl.

А как эту проблему решил бы уважаемый эксперт? Ну вот у тебя архив на 10 Gb, и нужно дабавить один файлик, чтобы не перептсывать все 10 Gb. Как, по-твоему, выглядел бы не "криворукий" дизайн?

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Tron is Whistling , 04-Авг-25 09:17 
В огороде бузина, у пистонщиков зип-архиватор.
Интертрепатор, произвольно достающий архив из середины файла без учёта семантики - это прекрасно.
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Аноним , 04-Авг-25 09:25 
> Интертрепатор, произвольно достающий архив из середины файла без учёта семантики - это прекрасно.

Другими словами, ничего внятного ты на мой вопрос ответить не можешь. Что и требовалось доказать. Семантика, блждад...

"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено 1 , 04-Авг-25 09:51 
Классическое - "В огороде бузина, в Киеве дядька".
Один про то что формат zip - "абалденный!" второй, что внутри скрипта негоже размещать двоичные данные (например zip-bomb).
"Достижение выполнения кода при контроле над текстом коммента..."
Отправлено Tron is Whistling , 04-Авг-25 14:40 
Да размещать-то даже можно, но какого хрена этот пистон-архиватор достаёт зип-архив из середины файла с кодом :D Это настолько мощно задвинуто, что я пожалуй его теперь не только стороной обходить буду, но и под снос везде пущу, по возможности.