buuctf [De1CTF 2019]SSRF Me

2023年8月15日下午9:04 • Python • 阅读 36

[De1CTF 2019]SSRF Me

打开题目发现一堆不知名乱码

不过仔细观察发现应该是python源码


from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json
reload(sys)
sys.setdefaultencoding('latin1')

app = Flask(__name__)

secert_key = os.urandom(16)

class Task:
    def __init__(self, action, param, sign, ip):
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        if(not os.path.exists(self.sandbox)):
            os.mkdir(self.sandbox)

    def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()):
            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print resp
                    tmpfile.write(resp)
                    tmpfile.close()
                result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
            if result['code'] == 500:
                result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result

    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False

@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)

@app.route('/De1ta',methods=['GET','POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if(waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())
@app.route('/')
def index():
    return open("code.txt","r").read()

def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"

def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()

def md5(content):
    return hashlib.md5(content).hexdigest()

def waf(param):
    check=param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False

if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0',port=80)

代码审计：
Flask框架下有三个路由
/geneSign:用于测试页面返回的是md5加密后的secert_key + param + action


@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)

/De1ta:获取一系列的数据,waf(param)过滤了gopher和file,生成Task对象,调用Exec()命令执行函数去读取文件

@app.route('/De1ta',methods=['GET','POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if(waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())

/:get返回源代码
就是一打开题目看到的那一堆源码

@app.route('/')
def index():
    return open("code.txt","r").read()

waf：禁止了flie和gopher协议
if判断

 def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False

传入的sign要和 getSign()生成的sign要一致
可以访问/geneSign路由get上传?param=flag.txtread
访问/geneSign得到的就是当action=readscan param=flag.txt时页面返回的md5加密后的值
param=flag.txt， action=readscan和param=flag.txtread， action=scan
最后的哈希值应该是一样的
因为action在生成的时候已经固定为scan了所以只需要param=readscan
解题：
构造sign值
访问url/geneSign，构造param=flag.txtread，通过action获得对应哈希值

添加cookie:sign=哈希值，action=readscan绕过checkSign检查cookie中的getSign(self.action, self.param) == self.sign)

就达到利用exce()读取flag.txt

Original: https://blog.csdn.net/qq_52671379/article/details/124282195
Author: 老young可爱
Title: buuctf [De1CTF 2019]SSRF Me

原创文章受到原创版权保护。转载请注明出处：https://www.johngo689.com/750525/

转载文章受原作者版权保护。转载请注明原作者出处！

python

【自取】最近整理的，有需要可以领取学习：

Linux核心资料大放送~

全栈面试题汇总（持续更新&可下载）

一个提高学习100%效率的工具！

【超详细】深度学习面试题目！

LeetCode Python刷题答案下载！

LeetCode Java版刷题答案下载！

LeetCode C++ 版本，抓紧保存！

LeetCode GO语言刷题答案下载！

python编写呆呆小鸟游戏

####################引用数据库与函数###################### import pygame from random import randra…

Python 2023年9月19日
0043
【学习笔记】《深入浅出Pandas》第13章：Pandas窗口计算

文章目录 13.1 窗口计算 * 13.1.1 理解窗口计算 13.1.2 移动窗口 rolling() 13.1.3 扩展窗口 13.1.4 指数加权移动 13.2 窗口操作 *…

Python 2023年8月18日
0064
深度学习GPU加速配置方法

然后在命令行中输入nvcc -V即可查看安装的cuda。 PS:如果未出现考虑环境变量的问题，主要参考以下几个环境变量，注意安装位置是默认位置 Original: https://…

Python 2023年10月29日
0046
【无标题】

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档 提示：以&#x4E…

Python 2023年8月5日
0051
爬虫系列：爬虫验证码识别

虽然大多数人对单词”CAPTCHA”都很熟悉，但是很少人知道它的具体含义：全自动区分计算机和人类的图灵测试（Completely Automated Pub…

Python 2023年11月3日
0034
【小程序项目开发– 京东商城】uni-app开发之配置 tabBar & 窗口样式

Python 2023年5月24日
0078
基于SqlSugar的开发框架循序渐进介绍（20）– 在基于UniApp+Vue的移动端实现多条件查询的处理

在做一些常规应用的时候，我们往往需要确定条件的内容，以便在后台进行区分的进行精确查询，在移动端，由于受限于屏幕界面的情况，一般会对多个指定的条件进行模糊的搜索，而这个搜索的处理，也…

Python 2023年10月16日
0050
Pytorch模型量化

在深度学习中，量化指的是使用更少的bit来存储原本以浮点数存储的tensor，以及使用更少的bit来完成原本以浮点数完成的计算。这么做的好处主要有如下几点：更少的模型体积，接近4…

Python 2023年9月29日
0067
装饰器的使用

2022-09-17 装饰器的使用实例——获得计时函数所用时间：切记：在定义已有函数，而且添加装饰器后，要调用函数，要不然运行代码时，无结果。运行结果：前面是0-9999，…

Python 2023年10月31日
0070
matplotlib可视化绘图详解

目录 1、Matplotlib 简介 Matplotlib 简介如何使用Matplotlib Matplotlib绘制图形 2、Matplotlib图形绘制 1）折线图 2）柱状…

Python 2023年9月1日
0059
[C++] – GCC和LLVM对方法 warning: non-void function does not return a value [-Wreturn-type] 的处理差异

最近做一个C++开源项目发现一个奇怪问题，通过clang编译链接执行程序每到有一个就崩溃了，gcc下则没有此问题。后来通过调试，发现原因是bool返回的方法是没有return语句…

Python 2023年10月15日
0041
Django实现注册登录功能

1.在templates文件下创建 register.html 2.在模板里写注册的样式表单综合内容如上，具体解析如下想要实现表单中的内容，必须要写表单标签在form标签里写…

Python 2023年8月5日
0060
【数字IC精品文章收录】近500篇文章|学习路线|基础知识|接口|总线|脚本语言|芯片求职|安全|EDA|工具|低功耗设计|Verilog|低功耗|STA|设计|验证|FPGA|架构|AMBA|书籍|

一、项目说明本篇索引旨在收藏CSDN全站中有关数字IC领域高价值文章，在数字芯片领域中，就算将架构，设计，验证，DFT，后端诸多岗位加在一起的数量，都不及软件类一个细分方向的岗…

Python 2023年9月15日
0053
体感游戏 | 手势识别玩飞机大战游戏(二) Python+OpenCV实现简易手势识别功能

后面将分四篇文章来介绍实现手势识别控制飞机大战游戏的功能，它们分别是：使用Pygame实现简易飞机大战小游戏使用Python+OpenCV实现简单手势识别使用OpenCV实现…

Python 2023年9月24日
0062
Java可变参数和集合工具类Collections的详细介绍

可变参数: 可变参数用在形参中可以接收多个不确定的数据。可变参数的格式： 数据类型…&a…

Python 2023年9月30日
0045
向量距离与相似度函数

1. 常见的距离计算方式 1.5 海明距离（Hamming Distance）在信息论中，两个等长字符串之间的海明距离是两个字符串对应位置的不同字符的个数。假设有两个字符串分别是…

Python 2023年10月25日
0042

2024 年 5 月
一	二	三	四	五	六	日
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

buuctf [De1CTF 2019]SSRF Me

大家都在看