BUUCTF-[De1CTF 2019]SSRF Me1——python代码审计

最新推荐文章于 2025-05-26 21:16:25 发布
原创 最新推荐文章于 2025-05-26 21:16:25 发布 · 664 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #开发语言

目录

代码审计

一、challenge()路由

1.waf()

二、Task()对象

1.md5()

2.Exec()方法

1.checkSign()

getsign()

2.scan()

四、gengSign()路由

漏洞发掘

1.绕过checkSign()

2.使action中有read 和 scan

做法——拼接字符串

总结

看到代码的可读性很差,并且本人python代码审得也太少了(这次就老老实实当做python代码审计学习吧)。。请AI帮我们修改一下,让代码变得更可读

代码审计

#! /usr/bin/env python
# #encoding=utf-8
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json

reload(sys)
sys.setdefaultencoding('latin1')
app = Flask(__name__)
secert_key = os.urandom(16)


class Task:
    def __init__(self, action, param, sign, ip):
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        if (not os.path.exists(self.sandbox)):
            os.mkdir(self.sandbox)
    def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()):
            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print(resp)
                    tmpfile.write(resp)
                    tmpfile.close()
                    result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
                if result['code'] == 500:
                    result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result

    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False
            # generate Sign For Action Scan.
            #

@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)

@app.route('/De1ta', methods=['GET', 'POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if (waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())

@app.route('/')
def index():
    return open("code.txt", "r").read()

def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"

def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()

def md5(content):
    return hashlib.md5(content).hexdigest()

def waf(param):
    check = param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False


if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0', port=80)

先来分析一下这段代码,大致看一下,找到一个路口,再一步步来,这里我先看到的是:

一、challenge()路由

@app.route('/De1ta', methods=['GET', 'POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if (waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())

在/De1ta下,看到了要传入的四个POST变量:action param sign ip  然后首先是遇到了waf检查,应该是要绕过waf的

1.waf()

def waf(param):
    check = param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False

 这里主要是对param进行检查,逻辑是:检查param是否以 gopher 或者 file 开头(拦截以 gopher://file:// 开头的输入,防御简单 SSRF 攻击)。如果是的话会被判断为hacker,那就不包含这个就好了。然后是对象的建立,将上面那四个变量传进去

二、Task()对象

class Task:
    def __init__(self, action, param, sign, ip):
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        if (not os.path.exists(self.sandbox)):
            os.mkdir(self.sandbox)

这里多了一个 sandbox 被赋值为md5(ip) 

1.md5()

def md5(content):
    return hashlib.md5(content).hexdigest()

这个md5方法就是将我们的ip进行md5加密。然后如果没创建以sandbox命名的文件目录,就进行创建。再看到后面的Exec方法

2.Exec()方法

    def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()):

这里先是checkSign()

1.checkSign()
    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False
getsign()
def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()

 有一个预定义的secert_key,当调用该函数时,会将secert_key param action 拼接起来,在进行md5加密。

回到checkSign() 这里应该是需要保证 getSign(action,param)的值 等于我们传入的sign

回到Exec()方法,再对action进行判断,如果action中含有scan的话

            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print(resp)
                    tmpfile.write(resp)
                    tmpfile.close()
                    result['code'] = 200

 首先是可写入的txt文件result.txt。假设self.sandbox=sandbox_dir 那么路径就为:
./sandbox_dir/result.txt

2.scan()
def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"

尝试打开指定的 URL 并读取其内容,如果在1s内无法完成操作,则返回 "Connection Timeout" 提示

如果能正常读取其中的内容,就将读取的内容写入result.txt中,并附上code为200

            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
                if result['code'] == 500:
                    result['data'] = "Action Error"

如果action中含有read的话,就是读取result.txt文件。

至此,这条通路就走完了。但还有一段代码没看

四、gengSign()路由

@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)

 看到这个路由也用了 getSign() ,这边的action并非我们输入的,而是被赋值为 scan

漏洞发掘

重点应该是在Exec()那里,将重心放到这里

怎么利用呢?题目给了提示: flag在flag.txt中  也就是说我们要用这段读flag.txt文件,我们应该满足下面的条件

1.checkSign()返回为真才会进行读写操作

2.action中要含有 read 和 scan 才会执行读写操作

3.scan函数最为重要,传入param(flag.txt)才是真正导致我们能得到flag的因

那就想想如何满足上面几个条件:

1.绕过checkSign()

其实就是要使:md5(secert_key+param+action)==sign   但我们并不知道secert_key,那就不知道sign如何传。但这时,我发现gengSign()起作用了

@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)

这里也同样调用了 getSign(),在gengSign()中,应该是这样的形式

md5(secert_key+param+'scan')  param我们传入flag.txt,secert_key就假设是xxx,这里就应该是

md5(xxxflag.txtscan) --> 可以得到相应的sign,再以此sign来绕过checkSign()的检查

2.使action中有read 和 scan

我们在分析第一个条件时,发现通过gengSign()只能得到action的值为scan,这该怎么办?
也就是说如果我们要满足条件二,条件一是满足不了的。但仔细看这个形式

md5(xxxflag.txtscan) 我们知道+是以拼接的方式,后面的scan是action的值,如果我构造的param值为:flag.txtread呢?我们在gengSign()中的形式就变成了:

md5(xxxflag.txtreadscan)

这样得到的sign和我们要得到flag的 param=flag.txt action=readscan 就是一样的了!

做法——拼接字符串

首先使用gengSign()得到我们要的sign值

836f4e46241851d97188840d1f6a85bb 

然后回到challenge()抓包改包

就可以得到flag了!

总结

原本还打算用从别的师傅那学来的方法——哈希拓展攻击的,但无奈在kali上下不下来,先放着。

前面代码部分写得有些乱,还请见谅。
 

 

 

 

 

 


 

c30%00
关注
[De1CTF 2019]SSRF Me1
m0_73673698的博客
07-24 599
既然/geneSign路由能够返回sign值并且sign值还是md5(secret_key+param+action)的值(因为在python中+代表字符串直接拼接)也就是md5(xxxflag.txtreadscan),又因为在geneSign这一路由中action是固定的等于scan,所以我们要想得到readscan的sign值那么我们可以令param=flag.txtread。通过sign传递然后令action=readscan,通过get方法去传递param=flag.txt,得到flag。
SSRF类型的CTF题目[De1CTF 2019]SSRF Me1
weixin_73049307的博客
09-26 1045
第一个if要求传入的action中含有scan,然后调用scan函数从文件中查找param这个文件,将文件名给resp,然后通过tmpfile函数写入result.txt中,且令它连通。我们已知flag在flag.txt中,而且最终要通过/De1ta中的param来得到,所以/De1ta中的param=flag.txt。第二个if要求传入的action中含有read,然后从result.txt中查找连通的文件作为f,并让result['data']=f.read得到它的内容。
[De1CTF 2019]SSRF Me
最新发布
uwvwko的博客
05-26 432
如果我们想要读flag.txt,就需要进行scan和read操作,而这两个操作在Tack类中需要checkSign检查(对比md5值),那我们就可以用/geneSign知道该md5值(有·return)这里出flag的逻辑就是通过scan扫到flag.txt然后写入result.txt文件,再用read把result.txt的文件内容读出来。这里就是把我们的action(readscan)和param(flag.txt)传进去得到的结果和我们传进去的sign比较。和上文得到的md5值一致。
BUUCTF】[De1CTF 2019]SSRF Me1
2401_86760082的博客
01-23 1297
打开题目发现有提示,可以访问./flag.txt打开题目页面如下。
[De1CTF 2019]SSRF Me | BUUCTF
qq_56313338的博客
09-09 1370
本题有多种解法:拼接字符串或者哈希长度拓展攻击
BUUCTF [De1CTF 2019]SSRF Me 1
weixin_45642610的博客
03-04 596
BUUCTF [De1CTF 2019]SSRF Me 1 把代码整理,添上一些注释 #! /usr/bin/env python # encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1')
BUUCTF_Web([De1CTF 2019]SSRF Me1)代码审计/flask框架
2401_87524087的博客
01-24 846
class Task: :定义了一个名为 Task 的类。def __init__(self, action, param, sign, ip): :这是类 Task 的构造函数(初始化方法)。- 参数:接受 action (任务动作)、 param (参数)、 sign (签名)、 ip 作为参数。- 属性赋值:将传入的参数分别赋值给类实例的属性 self.action 、 self.param 、 self.sign 、 self.sandbox。
[De1CTF 2019]SSRF Me 1
plant1234的博客
04-06 1656
[De1CTF 2019]SSRF Me 1 SSRF概述 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。 打
[De1ctf 2019]SSRF Me(哈希拓展攻击)
2301_76690905的博客
01-08 2040
在secret_key + param + action里,已知secert_key = os.urandom(16)(长度16),已知明文flag.txt(param)和scan(action),我们需要添加read。把flag.txt算进秘钥长度里,则秘钥长度为16+8,已知明文为scan,已知hash为8370a8f86a7a74b4053d1bc554a9d126,拓展明文为read,启动刚刚的脚本依次填入得到新明文和新hash,
[De1CTF 2019]SSRF Me1 解题思路
xiyuanyue的博客
10-10 607
1、/De1ta接口 md5(secert_key +param+action) 生成的sign 等于 接口 /geneSign 的sign md5(secert_key + param + 'scan')1、读取cookie中的action、sign 客户端ip 和 param参数值,当param参数值不是gopher、file绕过waf,初始化类 Task ,然后调用类的exec 方法。构建出来paload 尝试读取/etc/passwd 文件,成功读取/etc/passwd文件内容。
代码审计 | [De1CTF 2019]SSRF Me
crispr的博客
02-09 1852
[De1CTF 2019]SSRF Me 前言 以为是flask模板注入,但是看了其他师傅的writeup后发现是一个代码审计的流程,那就安心审计代码吧。 提示flag在/flag.txt中 整理后代码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import s...
[De1CTF 2019]SSRF Me 1代码审计
weixin_45577185的博客
09-11 325
#! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__) secert_key = os.urando
[De1CTF 2019]SSRF Me 1——python代码审计
m0_62879498的博客
05-09 741
[De1CTF 2019]SSRF Me 1 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__)
【[De1CTF 2019]SSRF Me1
ubaichu的博客
07-10 1717
[De1CTF 2019]SSRF Me 1 详细分析过程
SSRF漏洞学习
weixin_30387663的博客
04-13 381
SSRF SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从...
BUU-WEB-[De1CTF 2019]SSRF Me
qq_24033605的博客
05-16 257
[De1CTF 2019]SSRF Me 页面展示的就是源代码。 可以看出来是python代码,所以应该是flask框架。 (美化一下) #! /usr/bin/env python # #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setd
[de1ctf 2019]ssrf me 1
03-16
[de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值