BUU-WEB-[De1CTF 2019]SSRF Me

最新推荐文章于 2024-08-06 14:31:40 发布
最新推荐文章于 2024-08-06 14:31:40 发布
阅读量218 收藏
点赞数
分类专栏: BUU-WEB 文章标签: SSRF Flask框架 源代码泄露 文件读取 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24033605/article/details/116901739
版权

[De1CTF 2019]SSRF Me

页面展示的就是源代码。
可以看出来是python代码,所以应该是flask框架。
(美化一下)

#! /usr/bin/env python
# #encoding=utf-8
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json
reload(sys)
sys.setdefaultencoding('latin1')

app = Flask(__name__)

secert_key = os.urandom(16)

class Task:
    def __init__(self, action, param, sign, ip):
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        if(not os.path.exists(self.sandbox)):
            os.mkdir(self.sandbox)

    def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()):
            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print resp
                    tmpfile.write(resp)
                    tmpfile.close()
                result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
            if result['code'] == 500:
                result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result

    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False

@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)

@app.route('/De1ta',methods=['GET','POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if(waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())

@app.route('/')
def index():
    return open("code.txt","r").read()

def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"

def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()

def md5(content):
    return hashlib.md5(content).hexdigest()

def waf(param):
    check=param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False
if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0',port=9999)

审计一下:
有三个网页:
index.php显示源码。
geneSign显示一段md5值。
De1ta中有三个参数。

action = urllib.unquote(request.cookies.get("action"))
param = urllib.unquote(request.args.get("param", ""))
sign = urllib.unquote(request.cookies.get("sign"))

第一个参数传入read和scan。
第二个参数传入一个文件名。
第三个参数是一个md5值。

def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()

根据提示:
secret_key的值不知道。
param的值是flag.txt
action的值是readscan

@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)

根据第二个网页的功能构建md5是为了得到secret_key。
但是这里自定义的是param,action固定成scan。
所以构建的原始值为

param=flag.txtread
#action=scan

这样就拼接成了完整的secret_key。
在这里插入图片描述
再将得到的md5值传入sign中。就能得到flag。
在这里插入图片描述

TzZzEZ-web
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【学习笔记12】buu [De1CTF 2019]SSRF Me
weixin_43553654的博客
05-12 349
打开后看到一堆代码,根本看不懂,不过还好题目上给出了源码的下载位置,并且提示flag is in ./flag.txt,那啥都都不说了,先把源码下载下来吧。 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashl...
buuctf-[De1CTF 2019]SSRF Me
weixin_43345082的博客
12-30 1068
打开页面就是源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefault...
web buuctf [De1CTF 2019]SSRF Me
weixin_44214568的博客
04-03 1210
打开是一团代码, 整理后: ! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__) secert_k
[De1CTF 2019]SSRF Me
最新发布
beiweixiaotian66的博客
08-06 953
BUUCTF练习
BUUCTF:[De1CTF 2019]SSRF Me
末初的CSDN博客
04-24 1036
https://buuoj.cn/challenges#[De1CTF%202019]SSRF%20Me 源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencodi
buuctf [De1CTF 2019]SSRF Me
qq_52671379的博客
04-19 1033
buuctf [De1CTF 2019]SSRF Me
[De1CTF 2019]SSRF Me(flask框架)
qq_44657899的博客
04-20 2650
题目首先提示了flag的位置,结合题目名字ssrf,可以得到一个大概的思路。 然后打开题目,直接给了源码: #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys im...
buu-[GUET-CTF2019]re
qaq517384的博客
02-28 255
64位upx壳
BUUCTF [De1CTF2019]cplusplus
weixin_53349587的博客
01-04 638
拿到文件,IDA打开,进入主函数main(): 通过分析,函数第60行为标志性的获取输入函数。 然后在第104行出现了关键函数判断: 其中v47是我们输入的字符串,所以第108行和109行也是关键函数,对我们的输入进行了加密。 先进入104行sub_140005910函数: 函数中有三个sub_140005A90函数,通过动态调试发现,就是将我们输入的字符串每一个都转化为十六进制数。 进入sub_140005A90函数: 因为在关键判断的函数中一共有三个将输入的字符转为16进制的函数...
[De1CTF2019]xorz
2er0!=O的博客
08-02 1452
[De1CTF2019]xorz 附件: from itertools import * from data import flag,plain key=flag.strip("de1ctf{").strip("}") assert(len(key)<38) salt="WeAreDe1taTeam" ki=cycle(key) si=cycle(salt) cipher = ''.join([hex(ord(p) ^ ord(next(ki)) ^ ord(next(si)))[2:].zfill
[De1CTF 2019]SSRF Me | BUUCTF
qq_56313338的博客
09-09 944
本题有多种解法:拼接字符串或者哈希长度拓展攻击
第四十五题——[De1CTF 2019]SSRF Me
分享简单的安全技术
04-27 498
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,发现源码的乱码,整理后得到python的flask框架的源码,题目提示flag in ./flag.txt #! /usr/bin/env python # #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os
BUUCTF WEB [De1CTF 2019]SSRF Me
A_dmin的博客
12-20 3668
BUUCTF WEB [De1CTF 2019]SSRF Me 不得不说buuctf是个好网站,很多比赛的题目都有复现!! 题目给了源码: #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urlli...
代码审计 | [De1CTF 2019]SSRF Me
crispr的博客
02-09 1799
[De1CTF 2019]SSRF Me 前言 以为是flask模板注入,但是看了其他师傅的writeup后发现是一个代码审计的流程,那就安心审计代码吧。 提示flag在/flag.txt中 整理后代码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import s...
[De1ctf 2019]SSRF Me(哈希拓展攻击)
2301_76690905的博客
01-08 1789
在secret_key + param + action里,已知secert_key = os.urandom(16)(长度16),已知明文flag.txt(param)和scan(action),我们需要添加read。把flag.txt算进秘钥长度里,则秘钥长度为16+8,已知明文为scan,已知hash为8370a8f86a7a74b4053d1bc554a9d126,拓展明文为read,启动刚刚的脚本依次填入得到新明文和新hash,
BUUCTF [De1CTF 2019]SSRF Me 1
weixin_45642610的博客
03-04 549
BUUCTF [De1CTF 2019]SSRF Me 1 把代码整理,添上一些注释 #! /usr/bin/env python # encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1')
buu ctf web进阶]ssti
08-23
buu ctf web进阶中,ssti代表 Side Template Injection,是一种应用程序中的安全漏洞。通过此漏洞,攻击者可以注入恶意代码到服务器端的模板引擎,从而执行任意代码或获取敏感信息。这种漏洞可能导致服务器被入侵...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值