ctf-ssrf

最新推荐文章于 2024-08-06 17:20:59 发布
最新推荐文章于 2024-08-06 17:20:59 发布
阅读量1k 收藏 29
点赞数 20
分类专栏: CTF 文章标签: python web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/K_DREAM_G/article/details/139217720
版权

[De1CTF 2019]SSRF Me

来源:在这里插入图片描述

源码分析

看到有源码的提示直接去代码审计

#! /usr/bin/env python
#encoding=utf-8
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json
reload(sys)
sys.setdefaultencoding('latin1')

app = Flask(__name__)

secert_key = os.urandom(16)


class Task:
    def __init__(self, action, param, sign, ip):
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        if(not os.path.exists(self.sandbox)):          #SandBox For Remote_Addr
            os.mkdir(self.sandbox)

    def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()):
            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print resp
                    tmpfile.write(resp)
                    tmpfile.close()
                result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
            if result['code'] == 500:
                result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result

    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False


#generate Sign For Action Scan.
@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)


@app.route('/De1ta',methods=['GET','POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if(waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())
@app.route('/')
def index():
    return open("code.txt","r").read()


def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"



def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()


def md5(content):
    return hashlib.md5(content).hexdigest()


def waf(param):
    check=param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False


if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0')

先来一个ai生成的大刚看一下:
1-2: 设置编码格式和导入所需模块。
4: 生成一个随机的16字节密钥用于签名。
6-13: 定义Task类,用于处理接收到的任务请求,包括执行动作、验证签名及结果反馈。
15-17: 检查沙箱目录是否存在,不存在则创建,用于隔离不同客户端的请求结果。
19-24: Exec方法,根据不同的action执行相应操作,并返回执行结果。
26-29: checkSign方法,验证请求中的签名是否正确。
31-40: /geneSign路由,用于生成特定参数和动作的签名。
42-63: /De1ta路由,处理主要的挑战请求,包括解析参数、创建Task实例并执行任务,返回JSON格式的结果。
65-68: '/'路由,简单地返回code.txt文件内容作为主页。
70-77: scan函数,尝试访问指定URL并返回前50个字符,超时则返回错误信息。
79-82: getSign函数,生成基于密钥、参数和动作的MD5签名。
84-87: md5函数,计算给定内容的MD5哈希值。
89-94: waf函数,基础的WAF逻辑,检查请求参数是否包含可能的攻击字符串(如以"gopher"或"file"开头),返回布尔值表示是否拦截请求。
96-104: 主程序部分,设置Flask应用的调试模式为关闭,并在所有接口上监听。

genesign路由

由上面代码和分析我们可以知道当我们访问/geneSign路由时那个页面会返回secert_key + param + action的MD5值,在genesign中secert_key,action是固定值,可操作的只有param。

/De1ta路由

看/De1ta路由它调用了Task类我们最终获得flag的代码就在这个类中,所以我们必须通过/De1ta来获取flag,对于这个路由,param,action,sign都是我们可以操作的。

Task类

从这个类中我们可以分析出当访问/De1ta路由时会获取action, param, sign的值,然后初始化result字典 并设置result[‘code’] = 500,然后self.checkSign()判断计算出的sign值和传入的sign是否相同相同则执行if中的内容if “scan” in self.action:当这个条件成立会将self.param中的内容赋值给resp中,在这里param需要为flag.txt我们才能读取到flag,tmpfile.write(resp)然后这个语句会将flag内容写入到/result.txt文件中。if “read” in self.action:如果在action中有read则会将/result.txt的内容赋值给result[‘data’] 最终会返回result中的内容即flag。

所以我们需要在genesign路由中获取secert_key+flag.txtread+scan的md5值。

然后在/De1ta路由中传入参数param=flag.txt在cookie中传入action=readscan;sign=在genesign路由中获取secert_key+flag.txtread+scan的md5值

演示

获取secert_key+flag.txtread+scan的md5值。
在这里插入图片描述

访问/De1ta路由构造参数获取flag

在这里插入图片描述

还有一个方法是(哈希拓展攻击)

参考大佬链接:https://blog.csdn.net/2301_76690905/article/details/135464067
https://blog.csdn.net/2301_76690905/article/details/135177452?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522170471062516800185859013%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=170471062516800185859013&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2blogfirst_rank_ecpm_v1~rank_v31_ecpm-1-135177452-null-null.nonecase&utm_term=%E5%93%88%E5%B8%8C&spm=1018.2226.3001.4450

木筏.
关注
  • 20
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF-网络挑战
03-02
本项目只是对历届CTF开源的网站 申明 由于本人重新向出题人申请重新对过渡进行修改发布的权利,但对每个题均标明了出处,如涉嫌犯罪,立马致歉删除。 对于部分没找到flag的翻译,会自己随便添加 对已提供Dockerfile...
Web-CTF-Cheatsheet:Web CTF速查表:cat:
04-29
WEB CTF备忘单 目录 MySQL 微软SQL Oracle SQLite的 PostgreSQL MS Access LFI 上载 序列化 PHP序列化 Python泡菜 Ruby元帅 Ruby YAML Java序列化 .NET序列化 SSTI / CSTI Flask / Jinja2 嫩枝/ Symfony ...
CTFSSRF服务器端请求伪造
qq_53099119的博客
04-02 2188
从本题来看,他说他在baidu.com下放了一个flag.txt,但是试想一下,这个baidu.com是不可能为真正的百度的那个域名的,所以此处这个baidu.com应该为出题者所建的一个目录,所以就是ssrf读文件,我们就想到使用file协议来读取flag.txt这个文件。此处表示,截取所输入内容中的从第7位开始,长度为9的字符串,如果他的内容为baidu.com,那么程序也会die,而且我们所需要用的file://协议恰巧与http://协议长度相同,就很气人。
CTFHub技能树通关教程——SSRF漏洞原理攻击与防御(一)(超详细总结)
xt350488的博客
06-18 516
即服务器端请求伪造(Server-Side Request Forgery),是一种网络攻击技术,攻击者利用服务器上的应用程序向任意服务器发起请求或者操作,这些请求可能包括但不限于文件读取、命令执行、端口扫描等。在向服务器发送请求时,首先浏览器会进行一次URL解码,其次服务器收到请求后,在执行curl功能时,进行第二次解码。码中的换行符,在URL的二次编码中不需要,否则会导致curl执行错误,导致我们拿不到正确的结果。替换完成之后,再次进行url编码,这里的url就是源码中的curl要执行的。
ctfhub--ssrf
qq_44418229的博客
06-10 993
ctfhub----ssrf笔记
CTFHUB--SSRF详解
qq_49422880的博客
05-23 6348
SSRF详解SSRF漏洞介绍一、(内网访问、伪协议利用)1.1内网访问1.2伪协议读取文件1.3端口扫描二、(POST 上传文件 FastCGI协议 Redis协议)2.1 POST请求2.2 上传文件2.3 FastCGI协议2.4 Redis协议三、(Bypass系列)3.1 URL Bypass3.2 数字IP Bypass3.3 302跳转 Bypass3.4 DNS重绑定 Bypass SSRF漏洞介绍    SSRT(Server-Side Request Forgery,服务器端请求伪造),就
CTFHub-SSRF(全部)
1stPeak's Blog
08-01 2815
文章目录内网访问伪协议读取文件端口扫描POST请求 内网访问 解题步骤 伪协议读取文件 解题步骤 端口扫描 提示: 根据提示对目标端口进行爆破 注:使用字典也可以,用for循环写一个字典出来,还有就是爆破时线程不能太高,太高容易失败,无法爆出来 POST请求 注:中途靶机重启过一次,网址有些改变,不要在意,看payload即可 解题步骤 根据网上的一些内容,他共有3个php文件,分别是flag.php、302.php、index.php http://challenge-d01e92
CTFHUB-SSRF-FastCGI协议
qq_62078839的博客
04-23 1876
Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写 第一种方式 exp import socket import random import argparse import sys from io import BytesIO # Referrer: https://github.com/wuyunfeng/Python-FastCGI-Client PY2 = True if sys.version_info.major == 2 el
CTFHUB-SSRF-上传文件
weixin_68416970的博客
07-01 485
CTFHUB技能树、SSRF、上传文件的通关教程
CTFHub-Web-SSRF
IceCream的博客
04-29 1897
1.题目提示说访问127.0.0.1的flag.php,在URL后面添加路径没想到直接访问成功。
ctfhub -SSRF
weixin_55702959的博客
02-09 434
内网访问 SSRF(Server-Side Request Forgery:服务请求伪造)是一种由攻击者构造,从而让服务端发起请求的一种安全漏洞,它将一个可以发起网络请求的服务当作跳板来攻击其他服务,SSRF的攻击目标一般是内网。 ?url=127.0.0.1/flag.php 抓包 伪协议读取文件 https://blog.csdn.net/qq_39431542/article/details/89483887 php伪协议: File:// 访问本地文件系统 http:// 访问 H
CTFHUB-SSRF-端口扫描
weixin_68416970的博客
06-21 651
CTFHUB靶场技能树-SSRF-端口扫描的通关教程
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF-WEB入门DOC-2019版1
08-03
4. SSRF:参考ssrf学习记录进行深入理解。 5. PHP漏洞:学习PHP基础和相关漏洞,如变量覆盖、文件包含、反序列化、RCE等。 6. Python漏洞:研究Flask SSTI、pickle反序列化等。 7. XXE:理解XXE漏洞原理,通过xxe-...
你未见过的SSRF利用方式
06-20
SSRF (Server-Side Request Forgery:服务器端请求伪造) 是⼀种由攻击者构造形成,由服务端发起请求的⼀个安全漏洞 原因是由于服务端提供了从其他服务器应⽤获取数据的功能且没有对地址和协议等做过滤和限制 本⽂讲解...
jupyter下载
最新发布
Einstein·Jun
08-06 252
Anaconda下载 参考链接:https://blog.csdn.net/qq_48372575/article/details/125630622 设置Jupyter Notebook的代码路径 在“此电脑”中搜索。删除最后一个""后面的的内容,包括“\”。 用记事本打开它。 按下ctrl+F就可以开始查找。查找内容如下: 找到之后,右键该文件,找到“发送到”,找到“桌面快捷方式”。然后就会发现桌面上已经建立好了!
Python 和 C++ 环境下安装和使用 ONNX Runtime
CDBmax的博客
08-03 325
对于 GPU 版本的 ONNX Runtime,需要安装 CUDA 和 cuDNN。请检查 CUDA 执行提供程序的要求以获取兼容版本的 CUDA 和 cuDNN。通过上述步骤和示例代码,您可以在 Python 和 C++ 环境下安装并使用 ONNX Runtime 进行模型推理。《windows端可以用 vs编辑器配置相应的头文件、库文件》《这部分可以去B站有很多教学视频讲的更详细》
【面试题】寻找两个正序数组的中位数
联系方式:927632640
08-06 320
面试学习给定两个大小分别为 m 和 n 的正序数组 nums1 和 nums2,我们需要找到这两个数组的中位数。下面是详细的解题步骤和 Python 代码示例。
CTFHub ssrf
07-29
CTFHub是一个CTF(Capture The Flag)比赛平台,提供了各种安全挑战和漏洞利用的题目。在引用\[1\]中提到了一些与SSRF(Server-Side Request Forgery)相关的内容,包括伪协议读取文件、端口扫描、POST请求上传文件、FastCGI、Redis协议、URL Bypass、数字IP Bypass、302跳转Bypass和DNS重绑定 Bypass。引用\[2\]中提到了CGI和FastCGI协议的运行原理,并介绍了使用Gopherus工具生成攻击FastCGI的payload。引用\[3\]中提到了一个使用Python脚本进行端口扫描的例子。 所以,CTFHub ssrf是指在CTFHub平台上与SSRF相关的内容和挑战。 #### 引用[.reference_title] - *1* [CTFHub—SSRF](https://blog.csdn.net/qq_45927819/article/details/123400074)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [CTFHUB--SSRF详解](https://blog.csdn.net/qq_49422880/article/details/117166929)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFHub技能树笔记之SSRF:内网访问、伪协议读取文件、端口扫描](https://blog.csdn.net/weixin_48799157/article/details/123886077)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值