[De1CTF 2019]SSRF Me

最新推荐文章于 2024-01-08 18:58:39 发布
最新推荐文章于 2024-01-08 18:58:39 发布
阅读量130 收藏
点赞数
文章标签: flask python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51684648/article/details/123501265
版权 
python格式美化一下
from flask
import Flask from flask
import request
import socket
import hashlib
import urllib
import sys
import os
import json 
reload(sys) 
sys.setdefaultencoding('latin1') 

app = Flask(__name__) 

secert_key = os.urandom(16) 

class Task: 
    def __init__(self, action, param, sign, ip):
        self.action = action 
        self.param =param 
        self.sign = sign 
        self.sandbox = md5(ip) 
        if(not os.path.exists(self.sandbox)): #SandBox For Remote_Addr os.mkdir(self.sandbox) 
	def Exec(self): 
    	result = {}
    	result['code'] = 500
   		if(self.checkSign()):
        	if "scan" in self.action: 
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w') 
                resp = scan(self.param) 
            	if(resp == "Connection Timeout"): 
                	result['data'] = resp
    			else :
                	print resp 
                	tmpfile.write(resp) 
                	tmpfile.close() 
                result['code'] = 200
    	if "read" in self.action: 
            f = open("./%s/result.txt" % self.sandbox,'r') 					result['code'] = 200 
            result['data'] = f.read() 
            if result['code'] == 500: 
                result['data'] = "Action Error"
			else :result['code'] = 500 
                result['msg'] = "Sign Error"
				return result 
    def checkSign(self): 
        if(getSign(self.action, self.param) ==self.sign):
            return True
    	else :
            return False
# generate Sign For Action Scan.
@app.route("/geneSign", methods = ['GET', 'POST']) def geneSign():
        param = urllib.unquote(request.args.get("param", "")) 		action ="scan"
    return getSign(action, param)

@ app.route('/De1ta', methods = ['GET', 'POST']) 
def challenge(): 
    action = urllib.unquote(request.cookies.get("action")) 
    param = urllib.unquote(request.args.get("param", "")) 
    sign = urllib.unquote(request.cookies.get("sign")) 
    ip = request.remote_addr
    
    if(waf(param)): 
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip) 
    return json.dumps(task.Exec())
@ app.route('/') 
def index(): 
    return open("code.txt", "r").read() 




def scan(param):
    socket.setdefaulttimeout(1) 
    try: 
        return urllib.urlopen(param).read()[: 50] 
    except: 
        return"Connection Timeout"

def getSign(action, param): 
    return hashlib.md5(secert_key + param +action).hexdigest() 

def md5(content): 
    return hashlib.md5(content).hexdigest() 
def waf(param): 
    check = param.strip().lower() 
    if check.startswith("gopher") or check.startswith("file"):
    	return True
	else :
        return False
if __name__ == '__main__': 
    app.debug = False 
    app.run(host = '0.0.0.0',port = 80)

首先看这个路由:

@app.route('/De1ta', methods = ['GET', 'POST']) 
def challenge(): 
    action = urllib.unquote(request.cookies.get("action")) 
    param = urllib.unquote(request.args.get("param", "")) 
    sign = urllib.unquote(request.cookies.get("sign")) 
    ip = request.remote_addr
    
    if(waf(param)): 
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip) 
    return json.dumps(task.Exec())

创建了一个Task类,action、sign的值是由cookie得到的,而param的值就是直接通过GET方法传递param参数的值得到,ip就是自己的ip地址。接着参数param会经过一个waf,然后执行task类中的Exec()方法

waf

def waf(param): 
    check = param.strip().lower() 
    if check.startswith("gopher") or check.startswith("file"):
    	return True
	else :
        return False

要求参数param不是以gopher和file开头,就是过滤了两个协议,是我们不能通过协议读取文件。

接着是task类中的Exec()方法:

def Exec(self): 
    	result = {}
    	result['code'] = 500
   		if(self.checkSign()):
        	if "scan" in self.action: 
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w') 
                resp = scan(self.param) 
            	if(resp == "Connection Timeout"): 
                	result['data'] = resp
    			else :
                	print resp 
                	tmpfile.write(resp) 
                	tmpfile.close() 
                result['code'] = 200
    	if "read" in self.action: 
            f = open("./%s/result.txt" % self.sandbox,'r') 					result['code'] = 200 
            result['data'] = f.read() 
            if result['code'] == 500: 
                result['data'] = "Action Error"
			else :result['code'] = 500 
                result['msg'] = "Sign Error"
				return result

如果self.checkSign()为真,则参数param进入scan方法,

scan():

def scan(param):
    socket.setdefaulttimeout(1) 
    try: 
        return urllib.urlopen(param).read()[: 50] 
    except: 
        return"Connection Timeout"

通过我们构造的param参数发现达到进行任意文件读取的效果,所以我们现在要做的就是如何使self.checkSign为真,跟进:

def checkSign(self): 
    if(getSign(self.action, self.param) ==self.sign):
        return True
    else:
        return False
 
def getSign(action, param): 
    return hashlib.md5(secert_key+param+action).hexdigest()

只要我们在cookie中传入的sign==getSign(cookie传入的aaction,Get传入的param)就能返回True

我们不知道secert_key的值,从而无法得到getSign返回的值,发现:

@app.route("/geneSign", methods = ['GET', 'POST']) def geneSign():
        param = urllib.unquote(request.args.get("param", "")) 		action ="scan"
    return getSign(action, param)

这里能得到getSign('scan',Get传递的param),也是我们唯一能利用的地方,这里参数param的值很明确,就是flag.txt,我们通过genSIgn的sign的值是md5(secert_key+param+'scan'),而最后我们在/De1ta?param=的值一定是flag.txt,而且要满足:

if "scan" in self.action
if "read" in self.action

我们可以在/geneSignparam参数传入flag.txtread,这样我们得到的sign就是md5(secret_key+flag.txtreadscan),而访问/De1ta?param传入的值为flag.txt,且通过cookie传入的action的值为readscan,这样

geySign(self.action,self.param) == getSign(flag.txtreadscan)==md5(secret_key+flag.txtread.scan)

得到sign

得到flag

YI_an#
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
De1CTF2020:De1CTF2020
02-18
ctftime xctftime 电报
De1CTF.zip
07-20
De1CTF逆向 pwn等,除web,misc外均有
[De1ctf 2019]SSRF Me(哈希拓展攻击)
最新发布
2301_76690905的博客
01-08 1428
在secret_key + param + action里,已知secert_key = os.urandom(16)(长度16),已知明文flag.txt(param)和scan(action),我们需要添加read。把flag.txt算进秘钥长度里,则秘钥长度为16+8,已知明文为scan,已知hash为8370a8f86a7a74b4053d1bc554a9d126,拓展明文为read,启动刚刚的脚本依次填入得到新明文和新hash,
[De1CTF 2019]SSRF Me | BUUCTF
qq_56313338的博客
09-09 670
本题有多种解法:拼接字符串或者哈希长度拓展攻击
[De1CTF 2019]SSRF Me(flask框架)
qq_44657899的博客
04-20 2548
题目首先提示了flag的位置,结合题目名字ssrf,可以得到一个大概的思路。 然后打开题目,直接给了源码: #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys im...
De1ctf 2020 -‘check in’ writeup
01-09
这道题很有意思,考察知识点:.htaccess文件上传、改文件type、字符匹配的绕过 文件内容过滤了很多字符 perl|pyth|ph|auto|curl|base|>|rm|ruby|openssl|war|lua|msf|xter|telnet in contents! ...
writeup:CTF挑战撰写
05-28
欢迎阅读我们的文章! 自2018年以来,r3kapig是一个统一的CTF团队,主要来自Eur3kA和... :2020 de1ctf写入 :0CTF / TCTF 2020质量报告 :GeekPwn云上挑战赛 20201020-n1ctf :N1CTF 2020撰写 20210111-rwctf-
DE1-soc 内部资料
03-10
DE1-soc 内部资料 项目历程
[de1ctf 2019]ssrf me 1
03-16
[de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值