[De1CTF 2019]SSRF Me

最新推荐文章于 2024-07-24 16:23:18 发布
最新推荐文章于 2024-07-24 16:23:18 发布
阅读量315 收藏
点赞数
分类专栏: CTF 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45708109/article/details/107930381
版权

知识点:

  • flask框架 python代码审计
  • cookie设置

代码审计

#! /usr/bin/env python
#encoding=utf-8
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json
reload(sys)
sys.setdefaultencoding('latin1')

app = Flask(__name__)

secert_key = os.urandom(16)


class Task:
    def __init__(self, action, param, sign, ip):#python的构造方法
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        if(not os.path.exists(self.sandbox)):          #SandBox For Remote_Addr
            os.mkdir(self.sandbox)

    def Exec(self):#定义命令执行的函数
        result = {}
        result['code'] = 500
        if (self.checkSign()):#检查sign值是否等于hashlib.md5(secert_key + param + action).hexdigest()
            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)#调用scan自定义函数读取flag.txt
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print resp#输出flag.txt
                    tmpfile.write(resp)
                    tmpfile.close()
                result['code'] = 200
            if "read" in self.action:#检查action值中是否含read
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
            if result['code'] == 500:
                result['data'] = "Action Error"#没有返回Action Error
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"#不等于返回Sign Error
        return result

    def checkSign(self):#校验函数
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False


#generate Sign For Action Scan.
@app.route("/geneSign", methods=['GET', 'POST'])#这个路由用来读取Sign的值
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)


@app.route('/De1ta',methods=['GET','POST'])#最终注入点
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if(waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())
@app.route('/')#根目录路由,显示源码
def index():
    return open("code.txt","r").read()


def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]#读取flag
    except:
        return "Connection Timeout"



def getSign(action, param):#返回值要等与sign
    return hashlib.md5(secert_key + param + action).hexdigest()


def md5(content):
    return hashlib.md5(content).hexdigest()


def waf(param):#没什么用的waf
    check=param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False


if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0')

首先读代码很重要,先看De1ta这个路由

action = urllib.unquote(request.cookies.get("action"))
param = urllib.unquote(request.args.get("param", ""))
sign = urllib.unquote(request.cookies.get("sign"))

用cookie获得action和sign
用get方法获得param
过了一个没什么用的waf
然后用我们获得的参数构造了一个Task对象,最后返回了task.Exec()。接着我们看Exec()方法。
详细的过程标在了源码里。大致的意思就是,检查检查sign值是否等于hashlib.md5(secert_key + param + action).hexdigest()。和 action必须含有read和scan

我们知道python的加号是字符串拼接。
在这里插入图片描述根据scan,我们只要让param等于flag.txt(hint告诉我们flag在flag.txt里)且action等于readscan。
secert_key我们是不可能获取的。我们可以利用另一个路由来获取sign值。
在这里插入图片描述获取到了sgin值。为什么是flag.txtread?
因为action本来是scan
在这里插入图片描述这里进行了拼接这样就变成了secret_keyflag.txtreadscan
获得了secret_keyflag.txtreadscan的md5值也就是sgin,我们就可以构造,
在这里插入图片描述获取了flag

旸哥哥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[De1CTF 2019]SSRF Me1 解题思路
xiyuanyue的博客
10-10 478
1、/De1ta接口 md5(secert_key +param+action) 生成的sign 等于 接口 /geneSign 的sign md5(secert_key + param + 'scan')1、读取cookie中的action、sign 客户端ip 和 param参数值,当param参数值不是gopher、file绕过waf,初始化类 Task ,然后调用类的exec 方法。构建出来paload 尝试读取/etc/passwd 文件,成功读取/etc/passwd文件内容。
De1CTF2020:De1CTF2020
02-18
De1CTF2020:一场技术的盛宴】 De1CTF2020是一场备受瞩目的网络安全竞赛,通常在CTF(Capture The Flag)领域内举办。CTF比赛是信息安全爱好者和专业人士展示技能、学习新知识并互相交流的平台。这种竞赛涵盖了多...
[De1CTF 2019]SSRF Me1
最新发布
m0_73673698的博客
07-24 460
既然/geneSign路由能够返回sign值并且sign值还是md5(secret_key+param+action)的值(因为在python中+代表字符串直接拼接)也就是md5(xxxflag.txtreadscan),又因为在geneSign这一路由中action是固定的等于scan,所以我们要想得到readscan的sign值那么我们可以令param=flag.txtread。通过sign传递然后令action=readscan,通过get方法去传递param=flag.txt,得到flag。
[De1CTF 2019]SSRF Me 1(代码审计)
weixin_45577185的博客
09-11 253
#! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__) secert_key = os.urando
[De1CTF 2019]SSRF Me1 wp
m0_55185160的博客
03-21 2189
之前学了一周的ssrf,今天来尝试下这个题目,名字直接提示了考点所在,提醒我们注意利用服务端发起的请求。 先查看一下提示为flag is in ./flag.txt,引导我们考虑如何利用SSRF读取flag.txt。 我们打开题目发现是 是一行行由flask框架搭建的web服务。整理代码得到 #! /usr/bin/env python # #encoding=utf-8 from flask import Flask from flask import request import sock
[De1CTF 2019]SSRF Me | BUUCTF
qq_56313338的博客
09-09 910
本题有多种解法:拼接字符串或者哈希长度拓展攻击
De1CTF.zip
07-20
De1CTF逆向 pwn等,除web,misc外均有
De1ctf 2020 -‘check in’ writeup
01-09
在CTF(Capture The Flag)竞赛中,"De1ctf 2020 - ‘check in’" 是一道挑战性的安全题目,主要涉及到多个网络安全技术的综合运用,特别是与Web应用程序安全相关的方面。该题目的核心是通过理解并利用服务器配置中...
writeup:CTF挑战撰写
05-28
欢迎阅读我们的文章! 自2018年以来,r3kapig是一个统一的CTF团队,主要来自Eur3kA和... :2020 de1ctf写入 :0CTF / TCTF 2020质量报告 :GeekPwn云上挑战赛 20201020-n1ctf :N1CTF 2020撰写 20210111-rwctf-
DE1-soc 内部资料
03-10
DE1-SOC是一款基于 Altera 公司 FPGA(Field Programmable Gate Array)芯片的开发板,主要用于教育、学习和实验目的。它集成了多种硬件模块和接口,为用户提供了丰富的功能,可以进行数字逻辑设计、嵌入式系统开发...
DE1-SoC-FAQ整理
11-23
【DE1-SoC FAQ 整理】 DE1-SoC 是一款基于 Altera Cyclone V SoC 的开发板,集成了 FPGA 和 ARM Cortex-A9 双核处理器,广泛应用于嵌入式系统开发。以下是一些常见问题及其解答: Q1: DE1-SoC 的 GPIO 是否支持 ...
dds.rar_de1
09-24
【dds.rar_de1】是一个压缩包文件,其中包含与DE1开发板相关的VHDL程序。DE1(Digital Education 1)是Altera公司推出的一款教育用FPGA(Field-Programmable Gate Array)开发板,广泛应用于数字逻辑设计的教学和...
DE1_CAMERA
04-15
DE1_CAMERA项目主要涉及到FPGA(Field-Programmable Gate Array)技术,它是一种可编程逻辑器件,允许用户根据需求自定义硬件逻辑。在本项目中,DE1平台被用作核心处理单元,用于实现摄像头图像数据的采集、处理和...
DE1.rar_assignment_de1
07-15
de1 board pin assignment
DE1_GHRD,quartus 13.1
05-07
DE1_GHRD是基于ALTERA公司的FPGA开发板DE1设计的一款高级硬件资源开发平台。Quartus 13.1是Altera公司提供的一个综合、编程和仿真软件工具,用于开发FPGA(Field Programmable Gate Array)项目。这款软件在FPGA设计...
代码审计 | [De1CTF 2019]SSRF Me
crispr的博客
02-09 1795
[De1CTF 2019]SSRF Me 前言 以为是flask模板注入,但是看了其他师傅的writeup后发现是一个代码审计的流程,那就安心审计代码吧。 提示flag在/flag.txt中 整理后代码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import s...
[De1CTF 2019]SSRF Me 1
feng的博客
11-13 1902
知识点 python代码审计 SSRF 哈希长度拓展攻击 WP 首先进入环境,是一串python代码,整理一下: #! /usr/bin/env python # #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultenc
[de1ctf 2019]ssrf me 1
03-16
[de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值