本文详细分析了一段Python代码,涉及Flask应用、SSRF防护、文件操作及签名验证。通过审计,发现了关键路由`/geneSign`用于生成签名,`/De1ta`用于执行任务,其中`scan`和`read`操作涉及文件读写。通过构造特定请求,可以利用签名验证漏洞读取文件获取flag。总结了审计思路并提供了可能的攻击路径。
知识点
1、python代码审计
2、SSRF
给了个提示,感动
#! /usr/bin/env python
# #encoding=utf-8
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json
reload(sys)
sys.setdefaultencoding('latin1')
app = Flask(__name__)
secert_key = os.urandom(16)
class Task:
def __init__(self, action, param, sign, ip):
self.action = action
self.param = param
self.sign = sign
self.sandbox = md5(ip)
if (not os.path.exists(self.sandbox)):
# SandBox For Remote_Addr os.mkdir(self.sandbox)
def Exec(self):
result = {}
result['code'] = 500
if (self.checkSign()):
if "scan" in self.action:
tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
resp = scan(self.param)
if (resp == "Connection Timeout"):
result['data'] = resp
else:
print(resp)
tmpfile.write(resp)
tmpfile.close()
result['code'] = 200
if "read" in self.action:
f = open("./%s/result.txt" % self.sandbox, 'r')
result['code'] = 200
result['data'] = f.read()
if result['code'] == 500:
result['data'] = "Action Error"
else:
result['code'] = 500
result['msg'] = "Sign Error"
return result
def checkSign(self):
if (getSign(self.action, self.param) == self.sign):
return True
else:
return False
# generate Sign For Action Scan.
#
@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
param = urllib.unquote(request.args.get("param", ""))
action = "scan"
return getSign(action, param)
@app.route('/De1ta', methods=['GET', 'POST'])
def challenge():
action = urllib.unquote(request.cookies.get("action"))
param = urllib.unquote(request.args.get("param", ""))
sign = urllib.unquote(request.cookies.get("sign"))
ip = request.remote_addr
if (waf(param)):
return "No Hacker!!!!"
task = Task(action, param, sign, ip)
return json.dumps(task.Exec())
@app.route('/')
def index():
return open("code.txt", "r").read()
def scan(param):
socket.setdefaulttimeout(1)
try:
return urllib.urlopen(param).read()[:50]
except:
return "Connection Timeout"
def getSign(action, param):
return hashlib.md5(secert_key + param + action).hexdigest()
def md5(content):
return hashlib.md5(content).hexdigest()
def waf(param):
check = param.strip().lower()
if check.startswith("gopher") or check.startswith("file"):
return True
else:
return False
if __name__ == '__main__':
app.debug = False
app.run(host='0.0.0.0', port=80)
代码审计的能力还是太差了,平时审计的还是php的代码比较多,python审计有点不知所措
一起来一点一点看下去吧
首先注意到有三个路由,一个一个跟进吧
@app.route("/geneSign", methods=['GET', 'POST'])
@app.route('/De1ta', methods=['GET', 'POST'])
@app.route('/')
分析一
先看 “/geneSign” 吧,把有关函数我先展示出来
这个页面比较简单,就是GET或POST传入参数 param,然后把param的值和action的值一同带到getSign函数,?param=flag.txt,getSign 函数简单理解成 md5(key + flag.txt + scan),关键在于这里不知道key是什么。测试一下,得到md5值
分析二
再来看看第二个路由 ‘/De1ta’,同样列出有关函数
这个路由的覆盖就比较广了,一点一点来
GET或POST传入参数param
cookie 传参数sign和action
进入到 waf检测 param 的值,这里被禁用了 “gopher"和"file”,也就是SSRF常用的两个协议
然后 action, param, sign, ip用于生成Task类,最后调用Exec方法
来到这个Task类Exec方法,
首先是用checkSign检测 param和action组合后的md5是否等于传入的sign
关键
这里就要想到上面讲到的第一个路由了,那个生成md5值的功能
假设判断是成立了,代码继续往下看
如果存在 scan 在 action,就写文件
如果存在 read 在 action,就读文件
到这代码就大致看完了
整理一下思路,很明显是要利用最后的这个写入文件在读出文件来获取flag
路由 ‘/De1ta’ 传入 param,action,sign,然后判断 md5(key + param + action) 要等于 sign,且 action要有scan 和 read
路由 “/geneSign” 就是实现 md5功能的,注意这个路由的action 默认就是 scan,
也就是 md5(key + flag.txt + scan),但是这样得到的md5是没有 read 的,
那我们可以试着加上read,比如 md5(key + flag.txtread + scan),这样 action 就有了 read 和 scan
开始做题
得到含有read的 md5
然后传值给第二个路由
总结
讲的废话可能有点多,但这些都是我思考的过程,代码审计就是这样不能心急,心急就可能注意不到细节
(给自己菜找借口中,大佬明明都是一目十几行代码,【滑稽】)
代码还是要一点一点啃的,确实我代码看的也少,以后要多加练习读代码的能力
扫一扫
1093
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
