[De1CTF 2019]SSRF Me1 解题思路

于 2023-10-10 00:21:52 发布
阅读量168 收藏
点赞数
文章标签: 安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiyuanyue/article/details/133722977
版权

知识点:python代码审计

一、根据代码返回的python脚本分析

#! /usr/bin/env python
#encoding=utf-8
from importlib import reload
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json
reload(sys)

sys.setdefaultencoding('latin1')
app = Flask(__name__)
secert_key = os.urandom(16)


class Task:
    def __init__(self, action, param, sign, ip):
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        if(not os.path.exists(self.sandbox)):          #SandBox For Remote_Addr
            os.mkdir(self.sandbox)

    def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()):
            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print(resp)
                    tmpfile.write(resp)
                    tmpfile.close()
                result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
            if result['code'] == 500:
                result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result

    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False


#generate Sign For Action Scan.
@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)


@app.route('/De1ta',methods=['GET','POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if(waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())
@app.route('/')
def index():
    return open("code.txt","r").read()


def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"



def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()


def md5(content):
    return hashlib.md5(content).hexdigest()


def waf(param):
    check=param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False


if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0')

 geneSign?param=xx   接口生成sign保存在环境变量中。
 De1ta?param= 接口
  1、读取cookie中的action、sign 客户端ip 和 param参数值,当param参数值不是gopher、file绕过waf,初始化类 Task ,然后调用类的exec 方法。
  2、exec方法中先判断签名是否正确getSign(self.action, self.param) == self.sign  其中self.sign是接口/geneSign?param=xx 生成的签名。      
  3、exec()方法 如果action 中包含scan 就读取param参数的文件 并写到文件result.txt中,如果包含read 就读取result.txt内容
     
二、构建paload
从上述分析 /De1ta接口要想获取flag 的条件:
1、/De1ta接口 md5(secert_key +param+action)  生成的sign 等于   接口 /geneSign 的sign md5(secert_key + param + 'scan')
2、action 中包含字符串scan 和read 
3、param 参数值文件

构建出来paload 尝试读取/etc/passwd 文件,成功读取/etc/passwd文件内容
/geneSign?param=../../../etc/passwdread 

 /De1ta?param=../../../etc/passwd               
cookie:action=readscan;sign=


多次试探在flag.txt文件读取到flag

xiyuanyue
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
De1CTF2020:De1CTF2020
02-18
ctftime xctftime 电报
SSRF漏洞学习
weixin_30387663的博客
04-13 286
SSRF SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从...
[De1CTF 2019]SSRF Me 1
feng的博客
11-13 1607
知识点 python代码审计 SSRF 哈希长度拓展攻击 WP 首先进入环境,是一串python代码,整理一下: #! /usr/bin/env python # #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultenc
[De1CTF 2019]SSRF Me 1——python代码审计
m0_62879498的博客
05-09 518
[De1CTF 2019]SSRF Me 1 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__)
[De1CTF 2019]SSRF Me 1(代码审计)
weixin_45577185的博客
09-11 217
#! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__) secert_key = os.urando
[De1CTF 2019]SSRF Me
errorr0
04-27 3544
刷题记录
De1ctf 2020 -‘check in’ writeup
01-09
这道题很有意思,考察知识点:.htaccess文件上传、改文件type、字符匹配的绕过 文件内容过滤了很多字符 perl|pyth|ph|auto|curl|base|>|rm|ruby|openssl|war|lua|msf|xter|telnet in contents! ...
De1CTF.zip
07-20
De1CTF逆向 pwn等,除web,misc外均有
writeup:CTF挑战撰写
05-28
欢迎阅读我们的文章! 自2018年以来,r3kapig是一个统一的CTF团队,主要来自Eur3kA和... :2020 de1ctf写入 :0CTF / TCTF 2020质量报告 :GeekPwn云上挑战赛 20201020-n1ctf :N1CTF 2020撰写 20210111-rwctf-
DE1.rar_assignment_de1
07-15
de1 board pin assignment
BUUCTF [De1CTF 2019]SSRF Me 1
weixin_45642610的博客
03-04 503
BUUCTF [De1CTF 2019]SSRF Me 1 把代码整理,添上一些注释 #! /usr/bin/env python # encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1')
[De1CTF 2019]SSRF Me1 wp
m0_55185160的博客
03-21 2014
之前学了一周的ssrf,今天来尝试下这个题目,名字直接提示了考点所在,提醒我们注意利用服务端发起的请求。 先查看一下提示为flag is in ./flag.txt,引导我们考虑如何利用SSRF读取flag.txt。 我们打开题目发现是 是一行行由flask框架搭建的web服务。整理代码得到 #! /usr/bin/env python # #encoding=utf-8 from flask import Flask from flask import request import sock
BUUCTF WEB [De1CTF 2019]SSRF Me
A_dmin的博客
12-20 3534
BUUCTF WEB [De1CTF 2019]SSRF Me 不得不说buuctf是个好网站,很多比赛的题目都有复现!! 题目给了源码: #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urlli...
De1ctfSSRF ME多种方法
weixin_44255856的博客
08-09 3582
SSRF Me buuctf有靶场复现地址:http://web68.buuoj.cn/ 出题人给了hint:hint for [SSRF Me]: flag is in ./flag.txt 第一种方法:利用scan方法直接读取flag.txt 打开网页f12获取源码。 #! /usr/bin/env python #encoding=utf-8 from flask import Fla...
代码审计 | [De1CTF 2019]SSRF Me
crispr的博客
02-09 1662
[De1CTF 2019]SSRF Me 前言 以为是flask模板注入,但是看了其他师傅的writeup后发现是一个代码审计的流程,那就安心审计代码吧。 提示flag在/flag.txt中 整理后代码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import s...
[de1ctf 2019]ssrf me 1
最新发布
03-16
[de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiyuanyue

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值