[De1CTF 2019]SSRF Me 1——python代码审计

最新推荐文章于 2023-11-25 00:44:20 发布
最新推荐文章于 2023-11-25 00:44:20 发布
阅读量585 收藏 3
点赞数 1
分类专栏: buuctf 文章标签: python flask web安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62879498/article/details/124670491
版权

[De1CTF 2019]SSRF Me 1

#! /usr/bin/env python
#encoding=utf-8
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json
reload(sys)
sys.setdefaultencoding('latin1')

app = Flask(__name__)

secert_key = os.urandom(16)


class Task:
    def __init__(self, action, param, sign, ip):
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        if(not os.path.exists(self.sandbox)):          #SandBox For Remote_Addr
            os.mkdir(self.sandbox)

    def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()):
            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print resp
                    tmpfile.write(resp)
                    tmpfile.close()
                result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
            if result['code'] == 500:
                result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result

    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False


#generate Sign For Action Scan.
@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)


@app.route('/De1ta',methods=['GET','POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if(waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())
@app.route('/')
def index():
    return open("code.txt","r").read()


def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"



def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()


def md5(content):
    return hashlib.md5(content).hexdigest()


def waf(param):
    check=param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False


if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0')

题目一上来就扔给我们一串源码,发现本关是ssti的注入漏洞,但我感觉本质上还是代码审计。

对代码审计不熟悉的小伙伴可以去阅读这两篇文章:
文章(一)
文章(二)

让我们以 route 不同来进行python的代码审计

@app.route('/')
def index():
    return open("code.txt","r").read()


def scan(param):
    socket.setdefaulttimeout(1) #从url上下载图片
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"



def getSign(action, param):  # 获得签名  函数
    return hashlib.md5(secert_key + param + action).hexdigest() 
     #对secert_key + param + action进行MD5加密,同时利用hexdigest() 函数将加密后的MD5字符串转化为十六进制数据字符串值    
     #获得的字符串就是 cookie需要的Sign
                                                                 

def md5(content):  #
    return hashlib.md5(content).hexdigest()


def waf(param):     
 #判断我们传入的文件是否含有以gopher或者file开头     
   这里过滤掉了两个协议,使得我们无法通过gopher协议和php伪协议对flag.txt进行读取hexdigest()
    check=param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False


if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0')

@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)


GET方式接受 param参数值
令action = "scan"
同时将action和param,返回到 getSign()函数  生成一段签名
urllib.unquote()字符串被当作url提交时会被自动进行url编码处理


class Task:
    def __init__(self, action, param, sign, ip): #__init__             初始化类,返回的类型是function
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        if(not os.path.exists(self.sandbox)):          #SandBox For Remote_Addr
            os.mkdir(self.sandbox)

    def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()):
            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print resp
                    tmpfile.write(resp)
                    tmpfile.close()
                result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
            if result['code'] == 500:
                result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result

    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False


@app.route('/De1ta',methods=['GET','POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if(waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())



以GET方法接受 接受 param 参数
 cookie接收 sign 和 action
使用 waf函数进行判断 我们传入的参数中是否含有 gopher 和 file 着两个敏感词汇
将action, param, sign, ip 四个参数转到tast函数中,
将我们在tast.Exec()转变为 json的格式,
从而实现我们进行读取的目的

tast函数中,先初始化类  之后进行一个签名的判断
调用getSign()函数 与我们输入的签名进行对比
相同,继续进行判断
若"scan" in self.action:则将读取到的内容写入result.txt;"read" in self.action:则将result.txt的内容显示出来

payload
本关的是要签名的判断
我们可以利用前面 oute"/geneSign"来生成我们需要的sign
同时我们要让cookie中含有 scan 和 read 以便后续对flag的文件进行读取
scan的话,在geneSign函数里面,action是等于scan,而getsign函数将param和action拼接起来,所以我们无需将scan加入到我们所需要查询文件的后面,仅仅只需要将read添加到后面即可

同时,本题提示我们flag is in ./flag.txt

创建 sign

/geneSign?param=flag.txtread

在这里插入图片描述
访问 flag文件

/De1ta?param=flag.txt

Cookie:action=readscan;sign=e8cc6f64f9ba46acf8e5266c4707f0f2

在这里插入图片描述

hcjtn
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python动态代码审计
08-30
kcon议题《python 动态代码审计》,我已经将上面的所提到的技术广泛的用在我自己的工作之中,为我自己节省了大量的时间和精力。并且通过比较多实践,我把一些繁琐的过程和步骤做了简化,也填了大大小小的坑。与此同时,我找到了公司内部产品中出现的大大小小的漏洞,虽然这些漏洞没办法分享出来,但是我希望大家能从我今天分享的议题中学到一些有用的东西。这个议题里面提到的有些技术也可以用到php,go,ruby等语言里面。后续我也会把这个ppt中内容发到我的博客中,如果大家有什么问题和想法,欢迎在csdn上私信我,或者在我的留言板中留言
python项目代码审计_Python代码审计汇总
weixin_39861823的博客
11-29 712
1、任意代码执行任意代码执行需关注的函数,可使用正则搜索:eval\(|exec\(|execfile\(|compile\(需关注的危险库文件及函数有:os.system/popentimeit.timeitplatform.popencommands.getstatusoutputsubprocess.popen/call/check_output__import__("os").system...
[De1CTF 2019]SSRF Me--python代码审计
cainiao17441898的博客
05-31 224
解题: 整理一下python源码。 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__) sec
python项目代码审计_Python 安全 -代码审计
weixin_39997696的博客
11-29 310
Python 安全 -代码审计杀戮 (有事请 at 大号园长) | 2014-12-02 12:23这次来讲关于自动化审计方面的。OpenStack 团队出品过一个Python代码审计工具叫bandit,思路很牛逼,通过AST模块将源代码转换为Python语法树,由用户自定义对语法树的节点进行测试。这就需要大致讲下编译器是如何解析源代码的,编译器会先将源代码通过词法分析进行分割,就是说什么算一个词...
De1ctf 2020 -‘check in’ writeup
01-09
这道题很有意思,考察知识点:.htaccess文件上传、改文件type、字符匹配的绕过 文件内容过滤了很多字符 perl|pyth|ph|auto|curl|base|>|rm|ruby|openssl|war|lua|msf|xter|telnet in ... 原创文章 68获赞 11访问量 1万+
De1CTF2020:De1CTF2020
02-18
ctftime xctftime 电报
De1CTF.zip
07-20
De1CTF逆向 pwn等,除web,misc外均有
DE1-SoC-User-manual DE1-SoC用户手册
11-23
DE1-SoC用户手册
video_board_schemtic1.zip_Hooking Up_de1_video fpga
07-15
this is the schemtic for hooking up a video encoding chip (SAA7121H) to a IDE connector so it can connect to a DE1 FPGA board or any other you fancy
Python-Pylava是一个用于Python和JavaScript的代码审计工具
08-11
Pylava是一个用于Python和JavaScript的代码审计工具
Python入门实战:Python代码审计
最新发布
禅与计算机程序设计艺术
11-25 259
1.背景介绍 随着互联网、移动应用、物联网、云计算等新兴技术的发展,越来越多的人开始关注与研究应用层面的安全性和健壮性问题。而对于安全敏感的企业级应用软件来说,提升代码质量、减少安全风险,也是当务之急。如何检测并快速定位潜在安全漏洞、优化代码结构,确保应用安全无忧是这个领域的重中之重。 代码审计是目前最有效的检测和定位安全漏洞的方式之一。
python代码审计-osroom
SecINAdmin的博客
12-03 345
原文来自SecIN社区—作者:misakikata osroom 这个cms很有意思,从漏洞和程序的写法上,很适合用来入门学习,漏洞的一些形式相比来说,也比较多一点。 RCE apps\utils\format\obj_format.py 如下,文件中采用了eval来转换字符串对象,当json.loads转换失败的时候,则直接使用eval来转换。 def json_to_pyseq(tjson): """ json to python sequencer :param json:
Python代码审计》(1)一款超好用的代码扫描工具
午夜观星河
12-16 2056
从本文开始,我将开始介绍Python代码审计代码审计是检查源代码中的安全缺陷,检查源代码是否存在安全隐患,或者编码不规范的地方。通常使用自动化工具或者人工审查的方式,自动化工具效率高,但是误报率也高,并且发现的问题不够深入、全面;人工审查的方式可以全面深入的发现源代码中的安全缺陷,缺点是耗时较长。
python 财务报表审计_Python代码审计中一些需要重点关注的项
weixin_39702335的博客
11-24 89
SQL注入:如果是常规没有进行预编译,或者直接使用原生的进行拼凑,那么在view的时候就需要多去观察了【PythonSQL预编译】https://www.cnblogs.com/sevck/p/6733702.html如果项目使用例如Django,虽然Django自己封装了操作数据库的函数,但是Django也支持raw:def index(request, *args, **kwargs):for...
用150行python代码来做代码审计笔记
hl1293348082的专栏
03-28 421
你是否觉得有时候人类的思考模式很像正则匹配? 本文包括以下几个部分: 1、为什么我觉得可以用这个工具(个人认为) 2、我为什么写这个工具 3、工具的实现思路 4、工具的升级思路 5、源代码的 github 地址 6、使用测试 7、最后说两句 为什么我觉得可以用这个工具(个人认为) 通过审计代码,也就是查看源代码,来发现其中存在的隐患,代码审计需要对被审计的语言有充分的了解,不仅是能读懂源代码,还要了解语言本身的缺陷。很多时候代码审计的突破口就在于一些已经广为人知的有问题的代码的写法。
python 代码审计-命令执行漏洞(自己编写的代码
weixin_33904756的博客
09-10 400
python 代码审计-命令执行漏洞(自己编写的代码) 0x00 源代码 def execute(request): context ={} ip= request.POST.get("ip") username= request.POST.get("username") password= request.POST.get("password") idn...
[de1ctf 2019]ssrf me 1
03-16
好的,我来回答这个问题。 [de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后应用程序将请求发送到该URL,并将响应返回给用户。因此,我们可以在URL参数中输入我们想要访问的目标HTTP服务的地址,然后查看返回结果。 然而,为了防止应用程序被滥用,开发人员在应用程序中实现了一些安全措施。例如,应用程序会检查URL参数中是否包含一些不被允许的字符串,比如localhost、127.0.0.1等。此外,还有一些其他限制条件需要考虑。 因此,我们需要找到一种方法来绕过这些安全措施,从而成功访问目标HTTP服务。一种常见的技巧是使用一些特殊的URL协议,例如file协议、gopher协议等,来绕过安全检查。此外,我们还可以利用DNS rebinding攻击来绕过防御,但是需要特别注意,这种攻击可能涉及到一些法律和道德上的问题。 总之,这道题目需要具备一定的SSRF漏洞利用经验和技能,同时还需要对网络安全有一定的了解。如果你想进一步了解SSRF漏洞的原理和防御方法,可以查看相关的资料和教程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值