[De1CTF 2019]SSRF Me

于 2022-09-07 16:10:41 发布
阅读量193 收藏 1
点赞数 1
分类专栏: CTF # flask # SSRF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62905261/article/details/126746489
版权
CTF 同时被 3 个专栏收录
71 篇文章 0 订阅
订阅专栏
flask
3 篇文章 0 订阅
订阅专栏
SSRF
2 篇文章 0 订阅
订阅专栏

[De1CTF 2019]SSRF Me

题目直接给了源代码和提示

#! /usr/bin/env python
#encoding=utf-8
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json
reload(sys)
sys.setdefaultencoding('latin1')

app = Flask(__name__)

secert_key = os.urandom(16)


class Task:
    def __init__(self, action, param, sign, ip):
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        if(not os.path.exists(self.sandbox)):          #SandBox For Remote_Addr
            os.mkdir(self.sandbox)

    def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()):
            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print resp
                    tmpfile.write(resp)
                    tmpfile.close()
                result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
            if result['code'] == 500:
                result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result

    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False


#generate Sign For Action Scan.
@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)


@app.route('/De1ta',methods=['GET','POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if(waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())
@app.route('/')
def index():
    return open("code.txt","r").read()


def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"



def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()


def md5(content):
    return hashlib.md5(content).hexdigest()


def waf(param):
    check=param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False


if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0')

打开题目发现里面的东西就是题目中给的源代码

直接审计代码,发现了三个路由,先看使用最广的/De1ta路由

@app.route('/De1ta',methods=['GET','POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if(waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())

审计代码得知,我们需要传入三个值分别是action、param、sign,而param用get方法传值,action、sign用cookie传值,get传入的param需要经过waf函数,其次还要传入Task类对象,并执行Exec函数,先看一下waf函数

def waf(param):
    check=param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False

waf函数过滤了以gopher和file开有的协议,所以我们不能通过协议来读取文件,再看一下Exec函数

    def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()):
            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print resp
                    tmpfile.write(resp)
                    tmpfile.close()
                result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
            if result['code'] == 500:
                result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result

它首先会通过一个checkSign方法检测登录,if通过以后要求传入的action必须要有关键词scan、read,才能够获取flag,看一下checkSign函数

    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False

我们传入的action和param参数经过getSign函数之后与sign相等才会进行下一步,继续看一下getSign函数

def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()

发现getSign函数是secret_key、param、sction三者拼接后的md5,但是发现/geneSign路由,返回了getSign,可以生成我们需要的md5

@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)

构造payload:/geneSign?param=flag.txt

给了md5,但是这里只有scan功能,还需要read功能,/geneSign?param=flag.txt,返回的md5就是md5(secret_key+flag.txt+scan),即(secret_keyflag.txtscan),但如果我们param传入的值是flag.txtread(payload:/geneSign?param=flag.txtread),返回的值就是md5(secret_key+flag.txtread+scan),即(secret_keyflag.txtreadscan)。

这样的话就满足了action需要有scan与read关键词的要求,给出的md5也就是sign的值,action传入的值直接为readscan,剩下的param只能等于flag.txt,准备完毕可以执行了。

 

一夜至秋.
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
De1ctfSSRF ME多种方法
weixin_44255856的博客
08-09 7249
SSRF Me buuctf有靶场复现地址:http://web68.buuoj.cn/ 出题人给了hint:hint for [SSRF Me]: flag is in ./flag.txt 第一种方法:利用scan方法直接读取flag.txt 打开网页f12获取源码。 #! /usr/bin/env python #encoding=utf-8 from flask import Fla...
[De1CTF 2019]SSRF Me | BUUCTF
最新发布
qq_56313338的博客
09-09 844
本题有多种解法:拼接字符串或者哈希长度拓展攻击
[De1CTF 2019]SSRF Me——一个好的开端
Mrs_H的博客
12-02 3354
[De1CTF 2019]SSRF Me 一.前言 今天抽出时间来学ssrf了,老样子最一开始的学习阶段会从简单的题目进行入手,然后逐渐去往深层次的方面学习。但是最近应该不会写博客写的那么频繁了,有关CTF的事情也都会放一放了,因为要期末了,而且因为一些缘故,期末考试的时间应该会提前,要开始忙起来了。 二.正文 题目没有给前端界面,直接把项目的源码打在了首页上面。源码如下: #! /usr/bin/env python # #encoding=utf-8 from flask import Flask fr
De1CTF2020:De1CTF2020
02-18
De1CTF2020:一场技术的盛宴】 De1CTF2020是一场备受瞩目的网络安全竞赛,通常在CTF(Capture The Flag)领域内举办。CTF比赛是信息安全爱好者和专业人士展示技能、学习新知识并互相交流的平台。这种竞赛涵盖了多...
De1CTF.zip
07-20
De1CTF逆向 pwn等,除web,misc外均有
De1ctf 2020 -‘check in’ writeup
01-09
在CTF(Capture The Flag)竞赛中,"De1ctf 2020 - ‘check in’" 是一道挑战性的安全题目,主要涉及到多个网络安全技术的综合运用,特别是与Web应用程序安全相关的方面。该题目的核心是通过理解并利用服务器配置中...
writeup:CTF挑战撰写
05-28
欢迎阅读我们的文章! 自2018年以来,r3kapig是一个统一的CTF团队,主要来自Eur3kA和... :2020 de1ctf写入 :0CTF / TCTF 2020质量报告 :GeekPwn云上挑战赛 20201020-n1ctf :N1CTF 2020撰写 20210111-rwctf-
DE1-soc 内部资料
03-10
DE1-SOC是一款基于 Altera 公司 FPGA(Field Programmable Gate Array)芯片的开发板,主要用于教育、学习和实验目的。它集成了多种硬件模块和接口,为用户提供了丰富的功能,可以进行数字逻辑设计、嵌入式系统开发...
DE1-SoC-FAQ整理
11-23
【DE1-SoC FAQ 整理】 DE1-SoC 是一款基于 Altera Cyclone V SoC 的开发板,集成了 FPGA 和 ARM Cortex-A9 双核处理器,广泛应用于嵌入式系统开发。以下是一些常见问题及其解答: Q1: DE1-SoC 的 GPIO 是否支持 ...
dds.rar_de1
09-24
【dds.rar_de1】是一个压缩包文件,其中包含与DE1开发板相关的VHDL程序。DE1(Digital Education 1)是Altera公司推出的一款教育用FPGA(Field-Programmable Gate Array)开发板,广泛应用于数字逻辑设计的教学和...
DE1_CAMERA
04-15
DE1_CAMERA项目主要涉及到FPGA(Field-Programmable Gate Array)技术,它是一种可编程逻辑器件,允许用户根据需求自定义硬件逻辑。在本项目中,DE1平台被用作核心处理单元,用于实现摄像头图像数据的采集、处理和...
DE1.rar_assignment_de1
07-15
de1 board pin assignment
DE1_GHRD,quartus 13.1
05-07
DE1_GHRD是基于ALTERA公司的FPGA开发板DE1设计的一款高级硬件资源开发平台。Quartus 13.1是Altera公司提供的一个综合、编程和仿真软件工具,用于开发FPGA(Field Programmable Gate Array)项目。这款软件在FPGA设计...
定义python函数时、如果函数中没有return_python中函数的定义、返回值以及参数的简要介绍...
weixin_39850787的博客
11-24 3164
一、1.函数定义:def关键字开头,空格之后接函数名称和圆括号(),后面紧跟‘:”。函数是对功能的封装语法:def 函数名(形参列表):函数体(代码块,return)调用:函数名(实参列表)#函数定义defmylen():"""计算s1的长度"""s1= "hello world"length=0for i ins1:length= length+1print(length)#函数调用mylen(...
i春秋CTF ssrfme (peal函数中get命令漏洞)命令执行 详细题解+原理 学习过程
AAAAAAAAAAAA66的博客
12-16 1389
前几天刚做一道命令执行的题目累的够呛,这会刷题又碰见一道,所以做个总结,梳理一下自己学到的各方面知识。 题目 分析 <?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET["url"]));
[de1ctf 2019]ssrf me 1
03-16
[de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值