第四十五题——[De1CTF 2019]SSRF Me

最新推荐文章于 2024-05-04 15:35:03 发布
最新推荐文章于 2024-05-04 15:35:03 发布
阅读量469 收藏
点赞数
分类专栏: CTF-WEB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37589805/article/details/116191459
版权

Flask 签名验证 代码审计 flag获取 MD5哈希
关键词由CSDN通过智能技术生成
题目地址:https://buuoj.cn/challenges

解题思路

第一步:进入题目,发现源码的乱码,整理后得到python的flask框架的源码,题目提示flag in ./flag.txt

在这里插入图片描述

#! /usr/bin/env python
# #encoding=utf-8
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json
reload(sys)
sys.setdefaultencoding('latin1')
 
app = Flask(__name__)
 
secert_key = os.urandom(16)
 
class Task:
    def __init__(self, action, param, sign, ip):
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        if(not os.path.exists(self.sandbox)):
            os.mkdir(self.sandbox)
 
    def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()):
            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print resp
                    tmpfile.write(resp)
                    tmpfile.close()
                result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
            if result['code'] == 500:
                result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result
 
    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False
 
@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)
 
@app.route('/De1ta',methods=['GET','POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if(waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())
 
@app.route('/')
def index():
    return open("code.txt","r").read()
 
def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"
 
def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()
 
def md5(content):
    return hashlib.md5(content).hexdigest()
 
def waf(param):
    check=param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False
if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0',port=9999)

第二步:代码审计

  1. 规定了三个界面的路由,一个是/geneSign,一个是/De1ta,最后一个是/
  2. /geneSign路由从POST或GET获取param参数数据,然后将数据提交给getSign函数;getSign函数返回secert_key + param + action的MD5值的16进制数。
  3. /De1ta路由从POST或GET获取参数action,param,sign;之后对param参数进行合规判断;再使用参数生成Task对象后,执行Exec函数,最后以jason形式返回执行后的结果。
  4. Exec函数对参数action进行判断,若action值里面有scan字符串,就将param参数指定的文件读取后打印,并写入result.txt中;若action里面有read字符串,就将result.txt内容读取并打印出来。

第三步:获取flag

  1. 根据提示我们需要执行Exec函数,并传入param=flag.txt,以及action=readscan,将flag写入result.txt后读取出再以jason形式呈现出来
  2. Exec在执行前需要对参数使用checkSign函数进行合规检测,而checkSign函数需要调用getSign函数,我们并不知道secert_key的值,就无法确定sign传入的值。
  3. 但是/geneSign路由可以获取到加工好的16进制数,但是/geneSign路由里面的action为scan,而Exec里面action需要为readscan,我们就可以在/geneSign的param参数传入时使用flag.txtread进行拼接,获取到sign:a5315f93c6a6ef015232e41ab094e7b4
  4. 访问/De1ta页面,传入参数获取flag
    在这里插入图片描述
想学习安全的小白
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
20201229攻防世界WEB高手区目一多解全教程通关(1-6)
qq_45290991的博客
01-08 567
001baby_web 002Trainng WWW Robots 有关robots.txt的知识可以参考:https://www.cnblogs.com/yuzhongwusan/archive/2008/12/06/1348969.html 打开robots.txt会发现它只允许俄罗斯最大的搜索引擎爬取他的flag: 我们打开BP把自己的USER-agent改为Yandex就好了: 然后访问fl0g.php就会发现我们需要的flag:cyberpeace{3084111b0
定义python函数时、如果函数中没有return_python中函数的定义、返回值以及参数的简要介绍...
weixin_39850787的博客
11-24 3166
一、1.函数定义:def关键字开头,空格之后接函数名称和圆括号(),后面紧跟‘:”。函数是对功能的封装语法:def 函数名(形参列表):函数体(代码块,return)调用:函数名(实参列表)#函数定义defmylen():"""计算s1的长度"""s1= "hello world"length=0for i ins1:length= length+1print(length)#函数调用mylen(...
[De1CTF2019]babyrsa
最新发布
HKing147的博客
05-04 621
目链接:观察目所给的代码,可知解依次分为四步。p4≡ci​modni​i∈03,得到p4,然后在开4次方得到p。e1ee1≡ce1modne2tmpee2≡ce2modn,已知ee1ce1ee2ce2tmpn,求e1和e2。由于ee1和ee2都比较小,所以可以通过,暴力枚举k,求出底数,从而得到e1e2。第三步:可直接分解n,得到q1pq1。
CTF信息泄漏
weixin_56947109的博客
04-22 755
文章目录一、目录遍历1.打开目2.进入环境3.解步骤二、PHPINFO1.打开目2.进入环境3.解步骤 一、目录遍历 1.打开目 2.进入环境 通过目开启后,打开目附件 3.解步骤 ①打开网站,提示点击寻找flag ②跳转到flag_in_here这个目录,挨个对里面的目录进行寻找。 ③因为flag每次出现的位置都随机,多找找就可以发现 ④最终可以在某个目录中找到flag 二、PHPINFO 1.打开目 2.进入环境 通过目开启后,打开目附件 通过下方链接进入环境 http
[De1CTF 2019]SSRF Me
errorr0
04-27 3628
记录
[De1CTF 2019]SSRF Me | BUUCTF
qq_56313338的博客
09-09 852
有多种解法:拼接字符串或者哈希长度拓展攻击
De1CTF2020:De1CTF2020
02-18
De1CTF2020:一场技术的盛宴】 De1CTF2020是一场备受瞩目的网络安全竞赛,通常在CTF(Capture The Flag)领域内举办。CTF比赛是信息安全爱好者和专业人士展示技能、学习新知识并互相交流的平台。这种竞赛涵盖了多...
De1ctf 2020 -‘check in’ writeup
01-09
在CTF(Capture The Flag)竞赛中,"De1ctf 2020 - ‘check in’" 是一道挑战性的安全目,主要涉及到多个网络安全技术的综合运用,特别是与Web应用程序安全相关的方面。该目的核心是通过理解并利用服务器配置中...
De1CTF.zip
07-20
De1CTF逆向 pwn等,除web,misc外均有
DE1-soc 内部资料
03-10
DE1-SOC是一款基于 Altera 公司 FPGA(Field Programmable Gate Array)芯片的开发板,主要用于教育、学习和实验目的。它集成了多种硬件模块和接口,为用户提供了丰富的功能,可以进行数字逻辑设计、嵌入式系统开发...
writeup:CTF挑战撰写
05-28
欢迎阅读我们的文章! 自2018年以来,r3kapig是一个统一的CTF团队,主要来自Eur3kA和... :2020 de1ctf写入 :0CTF / TCTF 2020质量报告 :GeekPwn云上挑战赛 20201020-n1ctf :N1CTF 2020撰写 20210111-rwctf-
《数据结构》(C语言版)ch2 线性表学习笔记
xiangzi05的博客
10-06 289
一个小目录《数据结构》(C语言版)ch2 线性表学习笔记数组篇1.malloc()2.线性表宏定义3.init初始化与以前静态数组初始化区别4.函数作为参数 《数据结构》(C语言版)ch2 线性表学习笔记 数组篇 1.malloc() https://blog.csdn.net/flowing_wind/article/details/81240910 malloc()分配内存后不初始化 分配成功: 若分配成功,其返回类型是void ,表示未确定类型的指针,c,c++规定void可以强转为任何其他类型的指针
[De1CTF 2019]SSRF Me--python的代码审计
cainiao17441898的博客
05-31 231
: 整理一下python源码。 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__) sec
[De1CTF 2019]SSRF Me——一个好的开端
Mrs_H的博客
12-02 3355
[De1CTF 2019]SSRF Me 一.前言 今天抽出时间来学ssrf了,老样子最一开始的学习阶段会从简单的目进行入手,然后逐渐去往深层次的方面学习。但是最近应该不会写博客写的那么频繁了,有关CTF的事情也都会放一放了,因为要期末了,而且因为一些缘故,期末考试的时间应该会提前,要开始忙起来了。 二.正文 目没有给前端界面,直接把项目的源码打在了首页上面。源码如下: #! /usr/bin/env python # #encoding=utf-8 from flask import Flask fr
[De1CTF 2019]SSRF Me 1——python代码审计
m0_62879498的博客
05-09 606
[De1CTF 2019]SSRF Me 1 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__)
[de1ctf 2019]ssrf me 1
03-16
[de1ctf 2019]ssrf me 1 是一道关于SSRF的目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值