[De1CTF 2019]SSRF Me——一个好的开端

最新推荐文章于 2024-01-08 18:58:39 发布
最新推荐文章于 2024-01-08 18:58:39 发布
阅读量3.3k 收藏
点赞数
分类专栏: CTF 复现 SSRF 文章标签: flask python web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mrs_H/article/details/121683533
版权
CTF 同时被 3 个专栏收录
31 篇文章 1 订阅
订阅专栏
复现
31 篇文章 3 订阅
订阅专栏
SSRF
2 篇文章 0 订阅
订阅专栏

[De1CTF 2019]SSRF Me

一.前言

今天抽出时间来学ssrf了,老样子最一开始的学习阶段会从简单的题目进行入手,然后逐渐去往深层次的方面学习。但是最近应该不会写博客写的那么频繁了,有关CTF的事情也都会放一放了,因为要期末了,而且因为一些缘故,期末考试的时间应该会提前,要开始忙起来了。

二.正文

题目没有给前端界面,直接把项目的源码打在了首页上面。源码如下:

#! /usr/bin/env python
# #encoding=utf-8
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json

reload(sys)
sys.setdefaultencoding('latin1')
app = Flask(__name__)
secert_key = os.urandom(16)


class Task:
    def __init__(self, action, param, sign, ip):
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        if (not os.path.exists(self.sandbox)):

    # SandBox For Remote_Addr os.mkdir(self.sandbox)
    def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()):
            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print(resp)
                    tmpfile.write(resp)
                    tmpfile.close()
                    result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
                if result['code'] == 500:
                    result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result

    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False
            # generate Sign For Action Scan.
            #

@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)

@app.route('/De1ta', methods=['GET', 'POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if (waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())

@app.route('/')
def index():
    return open("code.txt", "r").read()

def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"

def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()

def md5(content):
    return hashlib.md5(content).hexdigest()

def waf(param):
    check = param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False


if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0', port=80)

看完源码,我们稍微处理一下我们所得到的信息。
我们有两个路由:/De1ta和/geneSign
我们有了sign的生成过程

def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()

def md5(content):
    return hashlib.md5(content).hexdigest()

/De1ta页面会调用最主要的函数Exec()
这道题目的解法并不唯一,我这里用的方法应该是最容易想到的一种,利用字符串的拼接来解决这道题目。这个方法的的关键点有两个:1.在sign生成的时候,是用secret_key,param,action直接拼接生成的2.Exec()函数中判断语句用的是in而不是==。所以这就导致我们可以通过字符串拼接的方式来读取flag。
我们首先构造一个param=flag.txtread,从geneSign发送给过去这会生成一个由(secret_key+flag.txtread+scan)拼接生成的md5.
然后我们将这个值作为sign通过/De1ta页面post过去action用readscan。这样不仅可以通过checkSign(),而且还能够同时进入两个判断语句,第一个判断语句将flag写入result中,第二个判断语句读出flag。
我们来实践一下。
请添加图片描述
请添加图片描述
ok,拿到flag。

后记

嗯。。。自己还屯了几篇文章没有写,都只是截了图。不知道什么时候才能把所有的坑全都填完。

入山梵行
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
De1CTF2020:De1CTF2020
02-18
ctftime xctftime 电报
De1ctf 2020 -‘check in’ writeup
01-09
这道题很有意思,考察知识点:.htaccess文件上传、改文件type...所以两个文件都不能出现这些字符,参考这篇文章的马,fuzzhttps://blog.csdn.net/l1028386804/article/details/84206143 原创文章 68获赞 11访问量 1万+
攻防世界之SSRF ME详解
m0_64583632的博客
04-24 1348
攻防世界题解之SSRF ME
【愚公系列】2023年06月 攻防世界-Web(题目名称-SSRF Me)
时光隧道
06-18 4417
SSRF是Server-Side Request Forgery(服务器端请求伪造)的缩写,是一种网络攻击技术。攻击者发送恶意请求给目标服务器,让服务器去访问攻击者指定的其他服务器或者域名,从而获取敏感信息或者攻击其他系统。SSRF的背景是因为现在许多Web应用程序需要访问其他服务或API来提供其功能或数据,比如访问AWS API、Google Maps API等。这些服务通常通过HTTP或HTTPS协议访问,而SSRF正是利用了这一点,通过构造恶意请求,让服务器去访问攻击者指定的其他服务或API。
[De1CTF 2019]SSRF Me
m0_53314778的博客
02-02 507
[De1CTF 2019]SSRF Me
De1ctfSSRF ME多种方法
weixin_44255856的博客
08-09 5146
SSRF Me buuctf有靶场复现地址:http://web68.buuoj.cn/ 出题人给了hint:hint for [SSRF Me]: flag is in ./flag.txt 第一种方法:利用scan方法直接读取flag.txt 打开网页f12获取源码。 #! /usr/bin/env python #encoding=utf-8 from flask import Fla...
De1CTF.zip
07-20
De1CTF逆向 pwn等,除web,misc外均有
yafpgatetris:FPGA实现的另一个俄罗斯方块
05-13
亚夫盖特里斯 FPGA实现的另一个俄罗斯方块 关于 在Terasic DE1-SoC板上制作的俄罗斯方块游戏。 输入:PS / 2键盘 输出:VGA显示(1280x1024) 另请参阅: : 视频: : 截屏: 二手Quartus 14.1
writeup:CTF挑战撰写
05-28
自2018年以来,r3kapig是一个统一的CTF团队,主要来自Eur3kA和FlappyPig。 r3kapig是可以烧烤和烧烤的美味佳肴,团队的任务是为主人提供最美味的食物。 :P 我们将在此处发布我们的官方文章。 有关更多信息,请...
[De1CTF 2019]SSRF Me(flask框架)
qq_44657899的博客
04-20 2546
题目首先提示了flag的位置,结合题目名字ssrf,可以得到一个大概的思路。 然后打开题目,直接给了源码: #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys im...
[De1ctf 2019]SSRF Me(哈希拓展攻击)
最新发布
2301_76690905的博客
01-08 1422
在secret_key + param + action里,已知secert_key = os.urandom(16)(长度16),已知明文flag.txt(param)和scan(action),我们需要添加read。把flag.txt算进秘钥长度里,则秘钥长度为16+8,已知明文为scan,已知hash为8370a8f86a7a74b4053d1bc554a9d126,拓展明文为read,启动刚刚的脚本依次填入得到新明文和新hash,
[De1CTF 2019]SSRF Me | BUUCTF
qq_56313338的博客
09-09 665
本题有多种解法:拼接字符串或者哈希长度拓展攻击
BUU CTF web题write up
0xdawn的博客
12-10 5030
0x01 WarmUp 进来就是一个大大的滑稽,F12拿到源码链接source.php <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["sour...
[de1ctf 2019]ssrf me 1
03-16
好的,我来回答这个问题。 [de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后应用程序将请求发送到该URL,并将响应返回给用户。因此,我们可以在URL参数中输入我们想要访问的目标HTTP服务的地址,然后查看返回结果。 然而,为了防止应用程序被滥用,开发人员在应用程序中实现了一些安全措施。例如,应用程序会检查URL参数中是否包含一些不被允许的字符串,比如localhost、127.0.0.1等。此外,还有一些其他限制条件需要考虑。 因此,我们需要找到一种方法来绕过这些安全措施,从而成功访问目标HTTP服务。一种常见的技巧是使用一些特殊的URL协议,例如file协议、gopher协议等,来绕过安全检查。此外,我们还可以利用DNS rebinding攻击来绕过防御,但是需要特别注意,这种攻击可能涉及到一些法律和道德上的问题。 总之,这道题目需要具备一定的SSRF漏洞利用经验和技能,同时还需要对网络安全有一定的了解。如果你想进一步了解SSRF漏洞的原理和防御方法,可以查看相关的资料和教程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值