[De1CTF 2019]SSRF Me

最新推荐文章于 2025-01-23 00:05:34 发布
原创 最新推荐文章于 2025-01-23 00:05:34 发布 · 147 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #网络安全 #安全

该博客文章主要分析了一个Python Flask应用中存在的一处SSRF漏洞。代码审计显示,攻击者可以通过`/De1ta`接口利用`action`和`param`参数执行特定操作,如读取文件。`sign`参数需要与`getSign()`方法生成的MD5签名匹配才能执行。通过在`geneSign`接口构造特定请求,可以获取合法的签名并绕过WAF,从而可能读取服务器上的flag.txt文件,达到获取敏感信息的目的。

[De1CTF 2019]SSRF Me

继续刷题,打开题目在这里插入图片描述嗯。。。一堆代码,整理一下

#! /usr/bin/env python
#encoding=utf-8
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json
reload(sys)
sys.setdefaultencoding('latin1')

app = Flask(__name__)

secert_key = os.urandom(16)


class Task:
    def __init__(self, action, param, sign, ip):
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        if(not os.path.exists(self.sandbox)):          #SandBox For Remote_Addr
            os.mkdir(self.sandbox)

    def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()):
            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print resp
                    tmpfile.write(resp)
                    tmpfile.close()
                result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
            if result['code'] == 500:
                result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result

    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False


#generate Sign For Action Scan.
@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)


@app.route('/De1ta',methods=['GET','POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if(waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())
@app.route('/')
def index():
    return open("code.txt","r").read()


def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"



def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()


def md5(content):
    return hashlib.md5(content).hexdigest()


def waf(param):
    check=param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False


if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0')

审计一下代码,重点在Exec()函数和/Da1ta页面下传参,看见获取了三个参数,其中两个是从cookie中获取的:

action = urllib.unquote(request.cookies.get(“action”))
param = urllib.unquote(request.args.get(“param”, “”))
sign = urllib.unquote(request.cookies.get(“sign”))

当做参数传入到Task类中,并调用Task类中的Exec()方法,分析下三个参数:
第一个参数action是传入read和scan的,
第二个参数看着应该是传入一个文件名,
第三个参数sign是一个md5值,
跟进Task中的Exec()方法,可以发现这里面还有个checkSign(),并且在这里面调用了getSign()方法,结果与sign进行比较
仔细看看getSign()方法。第一个参数action应该包含read,,第二个param参数应该是文件名,第三个参数就是要在getSign中获取的,代码中要求是param中要含有read所有param=flag.txtread。在这里插入图片描述当然是在geneSign页面传参得到MD5拼接加密后的参数值。将值传入De1ta页面,绕过checkSign()的检查。得到flag。在这里插入图片描述

buuctf-[De1CTF 2019]SSRF Me
weixin_43345082的博客
12-30 1241
打开页面就是源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefault...
攻防世界-Web-SSRF Me
m0_52484587的博客
08-09 404
【愚公系列】2023年06月 攻防世界-Web(题目名称-SSRF Me-优快云博客【愚公系列】2023年06月 攻防世界-Web(easy_web)_easyweb 模板-优快云博客
CTF 攻防世界 Web: SSRF Me write-up
qq_60256199的博客
11-22 935
CTF 攻防世界 Web: SSRF Me write-up
题目名称-SSRF Me
2401_87515406的博客
12-07 393
解决了验证码,然后就是构造服务器请求,这里可以构造file:///etc/apache2/sites-available/000-default.conf和default-ssl.conf这以apache中的虚拟主机的配置文件查看站点的根目录。另外可以看到另一个站点可以进行post传参参数为cmd,我们需要去访问另一个站点向其端口发送请求,接下来去去读取apache的监听端口文件构造file:///etc/apache2/ports.conf去查看apache的监听端口。
[De1ctf 2019]SSRF Me(哈希拓展攻击)
2301_76690905的博客
01-08 2133
在secret_key + param + action里,已知secert_key = os.urandom(16)(长度16),已知明文flag.txt(param)和scan(action),我们需要添加read。把flag.txt算进秘钥长度里,则秘钥长度为16+8,已知明文为scan,已知hash为8370a8f86a7a74b4053d1bc554a9d126,拓展明文为read,启动刚刚的脚本依次填入得到新明文和新hash,
[De1CTF 2019]SSRF Me1
m0_73673698的博客
07-24 680
既然/geneSign路由能够返回sign值并且sign值还是md5(secret_key+param+action)的值(因为在python中+代表字符串直接拼接)也就是md5(xxxflag.txtreadscan),又因为在geneSign这一路由中action是固定的等于scan,所以我们要想得到readscan的sign值那么我们可以令param=flag.txtread。通过sign传递然后令action=readscan,通过get方法去传递param=flag.txt,得到flag。
[De1CTF 2019]SSRF Me 1
plant1234的博客
04-06 1698
[De1CTF 2019]SSRF Me 1 SSRF概述 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。 打
[De1CTF 2019]SSRF Me 1——python代码审计
m0_62879498的博客
05-09 770
[De1CTF 2019]SSRF Me 1 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__)
【BUUCTF】[De1CTF 2019]SSRF Me
aoao331198的博客
05-06 316
源码 #! /usr/bin/env python # #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__) secert_key = os
BUUCTF:[De1CTF 2019]SSRF Me
末初 · mochu7
04-24 1493
https://buuoj.cn/challenges#[De1CTF%202019]SSRF%20Me 源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencodi
[BUUCTF][De1CTF 2019]SSRF Me
cosmoslin的博客
11-18 458
考点 读取文件的特殊方法 哈希扩展 解题 提示:flag is in ./flag.txt 直接给出源码,flask框架 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaulten
xctf-题目名称-SSRF MeSSRF,哈希碰撞)
chinansa的博客
01-06 862
利用协议转换:如果目标服务器对传入的 URL 只限制了部分协议,比如只禁止了 `file://` 协议,但允许 `http://` 协议,攻击者可以先通过 `http://` 访问自己控制的服务器,然后在自己的服务器上进行协议转换的重定向等操作,间接实现利用被禁止的协议去访问目标服务器本地文件等敏感资源,例如构造 `http://attacker-server/?理想情况下,不同的数据应该产生不同的哈希值,但由于哈希函数值域有限等原因,存在不同的数据经过哈希运算后得到相同哈希值的情况,这就是哈希碰撞。
BUUCTF [De1CTF 2019]SSRF Me
CyhDl666的博客
03-09 346
审计一下源码,稍微加了一些注释 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__) secert.
web buuctf [De1CTF 2019]SSRF Me
weixin_44214568的博客
04-03 1365
打开是一团代码, 整理后: ! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__) secert_k
【BUUCTF】[De1CTF 2019]SSRF Me1
最新发布
2401_86760082的博客
01-23 1496
打开题目发现有提示,可以访问./flag.txt打开题目页面如下。
buuctf [De1CTF 2019]SSRF Me
qq_52671379的博客
04-19 1126
buuctf [De1CTF 2019]SSRF Me
第四十五题——[De1CTF 2019]SSRF Me
分享简单的安全技术
04-27 674
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,发现源码的乱码,整理后得到python的flask框架的源码,题目提示flag in ./flag.txt #! /usr/bin/env python # #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os
[De1CTF 2019]SSRF Me | BUUCTF
qq_56313338的博客
09-09 1549
本题有多种解法:拼接字符串或者哈希长度拓展攻击
[de1ctf 2019]ssrf me 1
03-16
[de1ctf 2019]ssrf me 1 是一道关于SSRF题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值