[BUU/SSRF] [De1CTF 2019]SSRF Me

最新推荐文章于 2025-03-28 13:15:09 发布
原创 最新推荐文章于 2025-03-28 13:15:09 发布 · 373 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#flask #python #SSRF

本文详细分析了一个Python Flask应用中存在的一处SSRF漏洞,探讨了如何构造请求参数来执行特定操作,如通过/geneSign获取签名并利用/De1ta进行读取操作。同时,还介绍了如何绕过对gopher协议的过滤,成功读取内网文件。解决方法包括利用两套不同的参数分别生成签名和验证签名,并直接读取内网文件,无需使用特殊协议。

[De1CTF 2019]SSRF Me

初审

整理源代码

#! /usr/bin/env python
# #encoding=utf-8
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json

# reload(sys)
# sys.setdefaultencoding('latin1')
app = Flask(__name__)
# 产生一个秘密数值,随机的
secert_key = os.urandom(16)


class Task:
    def __init__(self, action, param, sign, ip):
        # 初始化一些内部变量
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        # 建立环境沙箱
        if not os.path.exists(self.sandbox):
            # SandBox For Remote_Addr
            os.mkdir(self.sandbox)

    def Exec(self):
        result = {}
        result['code'] = 500

        if self.checkSign():
            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if resp == "Connection Timeout":
                    result['data'] = resp
                else:
                    print(resp)
                    tmpfile.write(resp)
                    tmpfile.close()
                    result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
        	if result['code'] == 500:
            	result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result

    def checkSign(self):
        if getSign(self.action, self.param) == self.sign:
            return True
        else:
            return False


# generate Sign For Action Scan.
@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)


@app.route('/De1ta', methods=['GET', 'POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if waf(param):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())


@app.route('/')
def index():
    # 原本为code.txt,此处为了成功运行,修改为本文件
    return open("ssrfme.py", "r").read()


def scan(param):
    # 设置默认的超时时间
    socket.setdefaulttimeout(1)
    try:
        # 返回报文的前50位
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"


def getSign(action, param):
    # 计算三部分的连接的md5值,分别是secert_key + param + action。
    return hashlib.md5(secert_key + param + action).hexdigest()


def md5(content):
    # 封装了文本的MD5求散列值的过程
    return hashlib.md5(content).hexdigest()


def waf(param):
    # 检查开头字符,禁用了gopher和file协议
    check = param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False


if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0', port=80, debug=True)

即通过路由/geneSignmd5(secert_key + param + action)进行计算

parma=1		{可替换为任意的地址}
action=scan
7736298a3c9151c091b4daeaecbd1d6c

按照如下的参数进行传参则可以通过该checkSign的验证,

parma=1		{可替换为任意的地址}
action=scan
sign=7736298a3c9151c091b4daeaecbd1d6c

按照该逻辑,会将scan对parma参数的请求结果的前50个字符写入到result.txt

因此有两个需要就解决的问题

1.成功的使action包含read并且成功的通过checkSign的检查。

2.绕过对gopher的过滤,成功读取到文本

解决方法

READ

(1)通过路由/geneSign得到sign值时,action是写死的,但是产出md5的字符串是拼接的。

(2)通过路由/De1ta对scan的值进行检验时,采用的方式位关键字in

采用两套的参数分别进行产生md5md5检验

/geneSign

param=[地址]read
action=scan

/De1ta

param=[地址]
action=readscan
sign=md5(secert_key + param + action)
内网读文件

直接读文件即可,无需使用协议

param=flag.txt
action=readscan
sign=d964cfac6e4451c583723e6fb1093305

请添加图片描述

【学习笔记12】buu [De1CTF 2019]SSRF Me
weixin_43553654的博客
05-12 453
打开后看到一堆代码,根本看不懂,不过还好题目上给出了源码的下载位置,并且提示flag is in ./flag.txt,那啥都都不说了,先把源码下载下来吧。 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashl...
buuctf-[De1CTF 2019]SSRF Me
weixin_43345082的博客
12-30 1227
打开页面就是源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefault...
BUUCTF:[De1CTF 2019]SSRF Me
末初 · mochu7
04-24 1434
https://buuoj.cn/challenges#[De1CTF%202019]SSRF%20Me 源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencodi
BUUCTF】[De1CTF 2019]SSRF Me
aoao331198的博客
05-06 309
源码 #! /usr/bin/env python # #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__) secert_key = os
buuctf [De1CTF 2019]SSRF Me
qq_52671379的博客
04-19 1122
buuctf [De1CTF 2019]SSRF Me
[De1CTF 2019]SSRF Me1
m0_73673698的博客
07-24 658
既然/geneSign路由能够返回sign值并且sign值还是md5(secret_key+param+action)的值(因为在python中+代表字符串直接拼接)也就是md5(xxxflag.txtreadscan),又因为在geneSign这一路由中action是固定的等于scan,所以我们要想得到readscan的sign值那么我们可以令param=flag.txtread。通过sign传递然后令action=readscan,通过get方法去传递param=flag.txt,得到flag。
[De1ctf 2019]SSRF Me(哈希拓展攻击)
2301_76690905的博客
01-08 2108
在secret_key + param + action里,已知secert_key = os.urandom(16)(长度16),已知明文flag.txt(param)和scan(action),我们需要添加read。把flag.txt算进秘钥长度里,则秘钥长度为16+8,已知明文为scan,已知hash为8370a8f86a7a74b4053d1bc554a9d126,拓展明文为read,启动刚刚的脚本依次填入得到新明文和新hash,
buu [De1CTF2019]babyrsa(rsa基础数论知识点大考察)
shshss64的博客
10-19 682
rsa的综合运用
BUUCTF:[De1CTF 2019]SSRF Me ------(代码审计&&哈希拓展长度攻击&&代码审计明白之后的另一种方法)
Zero_Adam的博客
02-15 615
目录:一、不足:二、注意事项三、看WP:1. 哈希拓展长度攻击2.字符串拼接 一、不足: 真·什么也不会。。 代码审计吧,,不会代码审计, 对python很不了解,,,刚看代码的时候,真的没有一句能够看懂的。。不行就以后看看少用burp,多用pyt脚本练练python看看, 代码审计拉得很,,, 二、注意事项 盐的长度,通常不会是题目所给的盐的长度,这点要注意。 三、看WP: 1. 哈希拓展长度攻击 啥啊这是,,是个pythonflask。但是怎么看啊这,,, #! /usr/bin/env
[BUUCTF][De1CTF 2019]SSRF Me
cosmoslin的博客
11-18 450
考点 读取文件的特殊方法 哈希扩展 解题 提示:flag is in ./flag.txt 直接给出源码,flask框架 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaulten
BUUCTF [De1CTF 2019] SSRF Me
Senimo
12-20 696
BUUCTF [De1CTF 2019] SSRF Me 考点: Hint: flag is in ./flag.txt 启动环境,给出了源码: #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.s
[De1CTF 2019]SSRF Me | BUUCTF
qq_56313338的博客
09-09 1522
本题有多种解法:拼接字符串或者哈希长度拓展攻击
BUU [第二章 web进阶]SSRF Training
qq_62078839的博客
04-18 2084
打开连接发现页面上提示了flag.php,那么flag应该就放在这里了,点开intersting challenge 出现源码,审计代码 <?php highlight_file(__FILE__); function check_inner_ip($url) { $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); if (!$match_result) { ...
[BUUCTF]SSRF Me
Dannie01的博客
10-10 472
perl get 命令执行漏洞 思路: 调用命令GET来执行从url获取的参数, 然后按照filename新建文件,写入GET的结果。 知识点: bash -c “cmd string” 命令 perl脚本GET open命令漏洞 GET是Lib for WWW in Perl中的命令 目的是模拟http的GET请求,GET函数底层就是调用了open处理 open存在命令执行,并且还支持file函数 先创123文件查看根目录 创建 poc1 ?url=/&filename=123 p
Buu-第二届网鼎杯_玄武组web_ssrfme
Fisher
06-08 1388
<?php function check_inner_ip($url) { $match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url); if (!$match_result) { die('url fomat error'); } try { $url_parse=parse_url($url); } catch
74,【6】BUUCTF WEB BUU SSRF COURSE 1(未解出)
2402_87039650的博客
01-22 338
一看分数和解题人数就知道有点悬进入靶场输入了几个url尝试不过除了出现在url处,也没见显示什么出来,源代码更是没有什么信息试试抓包看看能不能得到什么信息好像也没得到什么加了端口也不行但是题目什么信息也没给啊。
ssrf刷题——buu [第二章 web进阶]SSRF Training [网鼎杯 2020 玄武组]SSRFMe
m0_73756016的博客
05-28 1704
需要用到的工具。
BUUCTF SSRF COURSE 1
MissBSky的博客
03-28 523
用一个公网服务器开一个nc监听。然后访问服务器的7777端口。flag就在监听到的数据包中。
BUUCTF [第二章 web进阶]SSRF Training
weixin_43520214的博客
09-24 1607
SSRF(Server-Side Request Forgery,服务器端请求伪造) 是一种网络攻击,攻击者通过欺骗服务器,使其向本不该访问的内部或外部资源发出 HTTP 请求。这种攻击允许攻击者间接利用服务器发起请求,绕过防火墙、访问内网系统,甚至读取本地资源。SSRF 攻击的基本概念:在 SSRF 攻击中,攻击者并不直接访问目标资源,而是通过服务器充当代理来发起请求。
buu ssrf course 1
最新发布
10-10
<think>首先,用户查询是关于“buu平台ssrf课程1”的相关内容。用户提到了引用[1]到[4],但这些引用似乎是从之前的对话或上下文中提取的具体内容,并非直接相关的课程材料。用户说:“上述引用仅供参考,并不是用户真正的需求”,所以我需要专注于用户的核心问题:查找BUU平台上的SSRF课程1相关内容。 BUU平台可能指的是一个网络安全学习平台,比如“Bugku University”或类似的东西,但我不确定具体的上下文。在引用中,提到了“buu刷题记录”,这暗示BUU可能是一个CTF平台或在线学习平台,涉及SSRF(Server-Side Request Forgery)漏洞。 用户明确说:“我想查找buu平台上ssrf课程1的相关内容”,并且之前的引用涉及SSRF漏洞的实例和工具。 回顾系统级指令: - 所有行内数学表达式必须使用 $...$。 - 独立公式使用 $$...$$。 - 使用中文回答。 - 生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识。 - 回答结构清晰,帮助用户逐步解决问题。 用户的上一次问题是关于SSRFBUU平台上的内容,所以我需要基于提供的引用和知识来回答。 分析引用: - [^1]:讨论SOAP的SSRF方法,提到CRLF注入和payload修改。 - [^2]:提到SoapClient类用于SSRF攻击。 - [^3]:涉及SSRFMe题目,DNS重绑定漏洞,打Redis。 - [^4]:提到0day和Leaking题目。 用户的问题是关于“SSRF课程1”,所以我应该假设这是一个具体的课程或学习资源。 作为AI,我没有实时访问BUU平台的知识库,但我可以基于常见网络安全资源和这些引用推测内容。 可能的回答结构: 1. **理解问题**:确认用户的需求是关于BUU平台的SSRF课程。 2. **提供相关信息**:基于引用和常识,描述SSRF漏洞的基础知识、常见攻击方法(如SOAP、DNS重绑定)、工具(如redis-ssrf)、以及BUU平台上的相关题目。 3. **生成相关问题**:在末尾添加相关问题。 4. **引用标识**:如果引用内容,末尾添加[^number]。 由于用户说引用仅供参考,我应该优先基于推理提供内容。 推测SSRF相关内容: - SSRF基础:服务器伪造请求,访问内部资源。 - 在BUU平台:常见题目如“SSRFMe”或类似。 - 从引用[3]:提到“[网鼎杯 2020 玄武组]SSRFMe”,这可能是BUU上的一道题目。 - 课程1可能涵盖基础概念、工具和实践。 回答步骤: 1. **介绍SSRF**:简要解释SSRF是什么。 2. **BUU平台课程内容**:基于引用,推测课程可能包括: - SSRF via SOAPClient (from [^1] and [^2]) - DNS rebinding attacks (from [^3]) - Redis exploitation (from [^3] with tools like redis-rogue-server) - Practical challenges like "SSRFMe" on BUU. 3. **提供资源**:建议用户查看具体题目或外部资源。 4. **生成相关问题**:如关于具体工具、防御方法等。 5. **确保中文**:整个回答用中文撰写。 6. **格式**:如果有数学表达式,用$...$,但SSRF话题可能不涉及数学,所以可能不需要。如果有变量或代码,用行内格式。 最终回答框架: - 开头:确认用户兴趣。 - 主体:描述推测的SSRF课程内容。 - 结尾:生成相关问题。 </think>### BUU平台SSRF课程1相关内容分析 基于您提供的引用和常见网络安全资源,我将帮助您梳理BUU平台上SSRF(Server-Side Request Forgery)课程1的可能内容。SSRF是一种服务器端请求伪造漏洞,允许攻击者利用服务器发起任意请求,常用于访问内部资源或绕过防火墙。BUU平台(如Bugku CTF平台)常以实践题目形式教授此类漏洞。以下是基于引用[1]、[2]、[3]、[4]的综合推测(引用仅供参考,我会结合普遍知识构建回答): 1. **SSRF基础概念与实践** SSRF课程1可能从基础入手,涵盖漏洞原理、攻击向量和简单利用方法: - 原理:SSRF允许恶意用户强制服务器向内部或外部系统发送请求(例如,访问localhost或内网服务)。 - 常见攻击向量:如SOAPClient类的利用(引用[2]),它可用于伪造HTTP请求[^2]。课程可能引用类似“[网鼎杯 2020 玄武组]SSRFMe”题目(引用[3]),演示如何处理不支持自定义Headers的场景(如使用CRLF注入和payload修改,如 `\0` 和 `\0\0` 技巧)[^1]。 - 实践工具:课程可能推荐工具如 `redis-ssrf.py` 或 `redis-rogue-server`(引用[3]),用于自动化SSRF攻击Redis等数据库[^3]。 2. **DNS重绑定与内部资源访问** 课程1通常会深入DNS重绑定漏洞,这是SSRF的进阶技术: - 漏洞机制:通过操纵DNS响应,使服务器重复请求恶意域名,从而绕过IP限制(例如,访问 `http://0.0.0.0/hint.php` 以获取敏感信息,如Redis密码)[^3]。 - 实操案例:BUU题目如“SSRFMe”可能被纳入课程,要求学习者利用SSRF打Redis服务(如设置键值或执行命令),引用工具如GitHub上的开源脚本进行复现[^3]。 3. **Payload构建与防御** 课程可能覆盖攻击payload的自定义技巧和防御策略: - Payload修改:教学中会教导如何利用特殊字符(如前缀 `s` 或 `S`)和编码绕过限制(引用[1]),例如在SOAP请求中注入CRLF攻击[^1]。 - 防御方法:课程可能总结常见防护措施,如输入验证、URL白名单和使用安全库(参考引用[4]的0day概念)[^4]。 为了深入学习,我建议您直接在BUU平台搜索“SSRF课程1”或相关题目(如“SSRFMe”)。此外,可参考外部资源: - [SSRF漏洞详解与实战](https://zhuanlan.zhihu.com/p/103506795)(通用教程)。 - GitHub工具库如[xmsec/redis-ssrf](https://github.com/xmsec/redis-ssrf)(用于Redis攻击实践)[^3]。 如果您有具体题目名称或代码片段,我可以帮助分析细节。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值