[De1CTF 2019]SSRF Me

最新推荐文章于 2024-01-08 18:58:39 发布
最新推荐文章于 2024-01-08 18:58:39 发布
阅读量80 收藏
点赞数
分类专栏: BUUCTF刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25500649/article/details/117665256
版权 
#! /usr/bin/env python
#encoding=utf-8

from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json
reload(sys)
sys.setdefaultencoding('latin1')

app = Flask(__name__)

secert_key = os.urandom(16)


class Task:
    def __init__(self, action, param, sign, ip):
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        if(not os.path.exists(self.sandbox)):          #SandBox For Remote_Addr
            os.mkdir(self.sandbox)

    def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()):
            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param) 
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print resp 
                    tmpfile.write(resp)
                    tmpfile.close()
                result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
            if result['code'] == 500:
                result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result

    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign): 
            return True
        else:
            return False


#generate Sign For Action Scan.
@app.route("/geneSign", methods=['GET', 'POST']) 
def geneSign():
    param = urllib.unquote(request.args.get("param", "")) 
    action = "scan"
    return getSign(action, param)


@app.route('/De1ta',methods=['GET','POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if(waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())

@app.route('/')
def index():
    return open("code.txt","r").read()


def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"

def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()


def md5(content):
    return hashlib.md5(content).hexdigest()


def waf(param):
    check=param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False

    
if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0')

提示中给出了flag在./flag.txt里面。

首先Task类中有Exec函数,我们访问De1ta页面,传参,经过waf处理后,构造一个Task的对象。

我们可以看到在scan函数中用到了urlopen函数,这个可能是本题的关键,响应题目中的SSRF。

我们查看那里调用了scan函数,会发现旨在Task中的Exec函数里调用了一次,而且使用了我们可控的self.param参数。

这里是没有对self.param进行过滤的,直接就传给了urlopen函数。waf函数也只是检测我们是否使用gopher或file读取他的本地文件。但是,我们直接写入文件路径也是可以读取文件的。flag在./flag.txt中,这里是唯一可以读取文件的位置,这里应该就是破题的关键。

这个位置如果能够成功读取flag.txt,则将其中的内容写入result.txt中。

如果read在self.action中,则将result读取并保存到result['data']中,Exec函数的最后返回了result而在challenge函数中,返回了json.dumps(task.Exec()),也就是此处的result。

思路:先进入/De1ta中的challenge函数,在Exec中的scan部分中将flag.txt的内容存入result.txt,然后从read部分中将其存到result字典中读出,再以json形式返回到客户端,我们就能得到flag。

要想实现上面的思路,我们首先要通过self.checkSign(),

然后checkSign函数需要getSign(self.action,self.param) ==self.sign。

 

到现在,我们还面临一个问题是:我们还不知道secret_key,但是在/geneSign绑定的geneSign中,会返回getSign('scan', param),通过这个返回值,直接在geneSign()中获取我们想要的字符串的哈希值。

在checkSign()函数的比较中,左边是getSign(self.action, self.param),右边是getSign('scan', param1),再进一步,左边是md5(key + self.param + self.action),考虑到param会传入urlopen(),我们可以写成md5(key + 'flag.txt' + self.action),其中,为了保证Exec()函数中scan部分和read部分都能被执行,self.action必须有'readscan'或'scanread'这样的子串。等号右边是md5(key + param1 + 'scan'),依此判断,self.action应包含'readscan'子串,可以将self.action定为'readscan'。

这样的话,等号左边为md5(key + 'flag.txt' + 'readscan'),等号右边的未定的参数也确定了,即md5(key + 'flag.txtread' + 'scan')。param1为'flag.txtread'依此传参,可得一个哈希值,这就是我们传给self.sign的值。

/geneSign?param=flag.txtread


#fcc344926d6f70e7f12f009f1ac84e0c

然后,传参给De1ta,修改cookie获取到最终flag。

 

 

 

 

 

 

 

 

 

 

Ushernrt
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
De1ctfSSRF ME多种方法
weixin_44255856的博客
08-09 7255
SSRF Me buuctf有靶场复现地址:http://web68.buuoj.cn/ 出题人给了hint:hint for [SSRF Me]: flag is in ./flag.txt 第一种方法:利用scan方法直接读取flag.txt 打开网页f12获取源码。 #! /usr/bin/env python #encoding=utf-8 from flask import Fla...
De1CTF2020:De1CTF2020
02-18
De1CTF2020:一场技术的盛宴】 De1CTF2020是一场备受瞩目的网络安全竞赛,通常在CTF(Capture The Flag)领域内举办。CTF比赛是信息安全爱好者和专业人士展示技能、学习新知识并互相交流的平台。这种竞赛涵盖了多...
攻防世界之SSRF ME详解
m0_64583632的博客
04-24 1479
攻防世界题解之SSRF ME
[De1CTF 2019]SSRF Me——一个好的开端
Mrs_H的博客
12-02 3356
[De1CTF 2019]SSRF Me 一.前言 今天抽出时间来学ssrf了,老样子最一开始的学习阶段会从简单的题目进行入手,然后逐渐去往深层次的方面学习。但是最近应该不会写博客写的那么频繁了,有关CTF的事情也都会放一放了,因为要期末了,而且因为一些缘故,期末考试的时间应该会提前,要开始忙起来了。 二.正文 题目没有给前端界面,直接把项目的源码打在了首页上面。源码如下: #! /usr/bin/env python # #encoding=utf-8 from flask import Flask fr
[De1ctf 2019]SSRF Me(哈希拓展攻击)
最新发布
2301_76690905的博客
01-08 1729
在secret_key + param + action里,已知secert_key = os.urandom(16)(长度16),已知明文flag.txt(param)和scan(action),我们需要添加read。把flag.txt算进秘钥长度里,则秘钥长度为16+8,已知明文为scan,已知hash为8370a8f86a7a74b4053d1bc554a9d126,拓展明文为read,启动刚刚的脚本依次填入得到新明文和新hash,
De1CTF.zip
07-20
De1CTF逆向 pwn等,除web,misc外均有
De1ctf 2020 -‘check in’ writeup
01-09
在CTF(Capture The Flag)竞赛中,"De1ctf 2020 - ‘check in’" 是一道挑战性的安全题目,主要涉及到多个网络安全技术的综合运用,特别是与Web应用程序安全相关的方面。该题目的核心是通过理解并利用服务器配置中...
writeup:CTF挑战撰写
05-28
欢迎阅读我们的文章! 自2018年以来,r3kapig是一个统一的CTF团队,主要来自Eur3kA和... :2020 de1ctf写入 :0CTF / TCTF 2020质量报告 :GeekPwn云上挑战赛 20201020-n1ctf :N1CTF 2020撰写 20210111-rwctf-
DE1-soc 内部资料
03-10
DE1-SOC是一款基于 Altera 公司 FPGA(Field Programmable Gate Array)芯片的开发板,主要用于教育、学习和实验目的。它集成了多种硬件模块和接口,为用户提供了丰富的功能,可以进行数字逻辑设计、嵌入式系统开发...
[De1CTF 2019]SSRF Me | BUUCTF
qq_56313338的博客
09-09 860
本题有多种解法:拼接字符串或者哈希长度拓展攻击
BUUCTF刷题十一道(06)
qq_45837896的博客
07-29 1417
BUUCTF刷题十一道
[De1CTF 2019]SSRF Me(flask框架)
qq_44657899的博客
04-20 2602
题目首先提示了flag的位置,结合题目名字ssrf,可以得到一个大概的思路。 然后打开题目,直接给了源码: #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys im...
刷题记录De1CTF ssrf_me 的三种解法
a3320315的博客
12-07 782
0x01 贴出源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefau...
[de1ctf 2019]ssrf me 1
03-16
[de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值