[De1CTF 2019]SSRF Me

最新推荐文章于 2024-01-08 18:58:39 发布
最新推荐文章于 2024-01-08 18:58:39 发布
阅读量128 收藏 1
点赞数
分类专栏: BUUCTF 文章标签: 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/127098026
版权 
知识点:代码审计

分析

#! /usr/bin/env python
# #encoding=utf-8
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json

reload(sys)
sys.setdefaultencoding('latin1')

app = Flask(__name__)

secert_key = os.urandom(16)


class Task:
    def __init__(self, action, param, sign, ip):
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        if (not os.path.exists(self.sandbox)):
            os.mkdir(self.sandbox)

    def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()):
            if "scan" in self.action:   #也就是说action要为“readscan”
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param) #传param
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print
                    resp
                    tmpfile.write(resp)
                    tmpfile.close()
                result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
            if result['code'] == 500:
                result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result

    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False


@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))   #接收param参数
    action = "scan"
    return getSign(action, param)


@app.route('/De1ta', methods=['GET', 'POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))  #获取cookie参数action和sign,get参数param
    ip = request.remote_addr    #客户端的ip
    if (waf(param)):    #不能用用gopher和file协议
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())


@app.route('/')
def index():
    return open("code.txt", "r").read()


def scan(param):
    socket.setdefaulttimeout(1)
    try:
            return urllib.urlopen(param).read()[:50]    #设置param=flag.txt
    except:
        return "Connection Timeout"


def getSign(action, param):     #mde加密一个secret_key+我们传的param+scan
    return hashlib.md5(secert_key + param + action).hexdigest()


def md5(content):
    return hashlib.md5(content).hexdigest()


def waf(param):
    check = param.strip().lower()       #删掉头和尾的空格,全转为小写
    if check.startswith("gopher") or check.startswith("file"):  #检查头
        return True
    else:
        return Falsacs.get("param", ""))   #接收param参数
    action = "scan"
    return getSign(action, param)

getSign用MD5加密了一下

def getSign(action, param):     #mde加密一个secret_key+我们传的param+scan
    return hashlib.md5(secert_key + param + action).hexdigest()

把三个参数传入Task类里,在调用Task类里的Exec函数,

@app.route('/De1ta', methods=['GET', 'POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))  #获取cookie参数action和sign,get参数param
    ip = request.remote_addr    #客户端的ip
    if (waf(param)):    #不能用用gopher和file协议
        return "No Hacker!!!!"a'c
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())

在Exec可以看出,action判断要包含scan和read这两个字符

 def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()):
            if "scan" in self.action:   #也就是说action要为“readscan”
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param) #传param
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print
                    resp
                    tmpfile.write(resp)
                    tmpfile.close()
                result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
            if result['code'] == 500:
                result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result

    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False

self.checkSign(),虽然action要包含scan和read这两个字符,在getSign中如果设置param为flag.txtread,那么合起来就是flag.txtreadscan,也就是可以先访问/geneSign获取cookie,然后再通过/De1ta传值

def getSign(action, param):     #mde加密一个secret_key+我们传的param+scan
    return hashlib.md5(secert_key + param + action).hexdigest()

resp = scan(self.param),

def scan(param):
    socket.setdefaulttimeout(1)
    try:
            return urllib.urlopen(param).read()[:50]    #设置param=flag.txt
    except:
        return "Connection Timeout"

先获取MD5值
在这里插入图片描述
再传参获取flag

在这里插入图片描述

在这里插入图片描述

succ3
关注
专栏目录
【学习笔记12】buu [De1CTF 2019]SSRF Me
weixin_43553654的博客
05-12 369
打开后看到一堆代码,根本看不懂,不过还好题目上给出了源码的下载位置,并且提示flag is in ./flag.txt,那啥都都不说了,先把源码下载下来吧。 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashl...
[De1CTF 2019]SSRF Me1 解题思路
xiyuanyue的博客
10-10 522
1、/De1ta接口 md5(secert_key +param+action) 生成的sign 等于 接口 /geneSign 的sign md5(secert_key + param + 'scan')1、读取cookie中的action、sign 客户端ip 和 param参数值,当param参数值不是gopher、file绕过waf,初始化类 Task ,然后调用类的exec 方法。构建出来paload 尝试读取/etc/passwd 文件,成功读取/etc/passwd文件内容。
BUU-WEB-[De1CTF 2019]SSRF Me
qq_24033605的博客
05-16 229
[De1CTF 2019]SSRF Me 页面展示的就是源代码。 可以看出来是python代码,所以应该是flask框架。 (美化一下) #! /usr/bin/env python # #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setd
web buuctf [De1CTF 2019]SSRF Me
weixin_44214568的博客
04-03 1226
打开是一团代码, 整理后: ! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__) secert_k
[De1CTF 2019]SSRF Me(flask框架)
qq_44657899的博客
04-20 2676
题目首先提示了flag的位置,结合题目名字ssrf,可以得到一个大概的思路。 然后打开题目,直接给了源码: #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys im...
[De1CTF 2019]SSRF Me | BUUCTF
qq_56313338的博客
09-09 980
本题有多种解法:拼接字符串或者哈希长度拓展攻击
buuctf-[De1CTF 2019]SSRF Me
weixin_43345082的博客
12-30 1092
打开页面就是源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefault...
De1ctfSSRF ME多种方法
weixin_44255856的博客
08-09 7341
SSRF Me buuctf有靶场复现地址:http://web68.buuoj.cn/ 出题人给了hint:hint for [SSRF Me]: flag is in ./flag.txt 第一种方法:利用scan方法直接读取flag.txt 打开网页f12获取源码。 #! /usr/bin/env python #encoding=utf-8 from flask import Fla...
De1CTFSSRF Me
迷风小白
08-31 6550
SSRF Me hint:flag is in ./flag.txt 拿到题目打开即是源码 右击查看源码发现是flask写的代码,有一个Task类和三个路由 接下来分析一下三个路由 #generate Sign For Action Scan. @app.route("/geneSign", methods=['GET', 'POST']) def geneSign(): para...
[De1CTF 2019]SSRF Me(字符串拼接解法,哈希长度扩展攻击解法)
xlcvv的博客
04-26 626
题目给了代码: 整理一下: #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setd...
第四十五题——[De1CTF 2019]SSRF Me
分享简单的安全技术
04-27 517
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,发现源码的乱码,整理后得到python的flask框架的源码,题目提示flag in ./flag.txt #! /usr/bin/env python # #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os
BUUCTF WEB [De1CTF 2019]SSRF Me
A_dmin的博客
12-20 3695
BUUCTF WEB [De1CTF 2019]SSRF Me 不得不说buuctf是个好网站,很多比赛的题目都有复现!! 题目给了源码: #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urlli...
代码审计 | [De1CTF 2019]SSRF Me
crispr的博客
02-09 1810
[De1CTF 2019]SSRF Me 前言 以为是flask模板注入,但是看了其他师傅的writeup后发现是一个代码审计的流程,那就安心审计代码吧。 提示flag在/flag.txt中 整理后代码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import s...
[De1ctf 2019]SSRF Me(哈希拓展攻击)
最新发布
2301_76690905的博客
01-08 1838
在secret_key + param + action里,已知secert_key = os.urandom(16)(长度16),已知明文flag.txt(param)和scan(action),我们需要添加read。把flag.txt算进秘钥长度里,则秘钥长度为16+8,已知明文为scan,已知hash为8370a8f86a7a74b4053d1bc554a9d126,拓展明文为read,启动刚刚的脚本依次填入得到新明文和新hash,
BUUCTF [De1CTF 2019]SSRF Me 1
weixin_45642610的博客
03-04 559
BUUCTF [De1CTF 2019]SSRF Me 1 把代码整理,添上一些注释 #! /usr/bin/env python # encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1')
[de1ctf 2019]ssrf me 1
03-16
好的,我来回答这个问题。 [de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后应用程序将请求发送到该URL,并将响应返回给用户。因此,我们可以在URL参数中输入我们想要访问的目标HTTP服务的地址,然后查看返回结果。 然而,为了防止应用程序被滥用,开发人员在应用程序中实现了一些安全措施。例如,应用程序会检查URL参数中是否包含一些不被允许的字符串,比如localhost、127.0.0.1等。此外,还有一些其他限制条件需要考虑。 因此,我们需要找到一种方法来绕过这些安全措施,从而成功访问目标HTTP服务。一种常见的技巧是使用一些特殊的URL协议,例如file协议、gopher协议等,来绕过安全检查。此外,我们还可以利用DNS rebinding攻击来绕过防御,但是需要特别注意,这种攻击可能涉及到一些法律和道德上的问题。 总之,这道题目需要具备一定的SSRF漏洞利用经验和技能,同时还需要对网络安全有一定的了解。如果你想进一步了解SSRF漏洞的原理和防御方法,可以查看相关的资料和教程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值