2. 程式人生 > 實用技巧 >刷題[De1CTF 2019]SSRF Me

刷題[De1CTF 2019]SSRF Me

阿新 發佈:2020-08-04

前置知識

本題框架是flask框架,正好python面向物件和flask框架沒怎麼學,藉著這個好好學一下

這裡我直接聽mooc上北京大學陳斌老師的內容,因為講的比較清楚,直接把他的ppt拿過來,看看就懂了

解題思路

直接給原始碼,得知是python,flask框架。審就完事了

程式碼審計

#! /usr/bin/env python
#encoding=utf-8
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json

reload(sys)
sys.setdefaultencoding('latin1')

app = Flask(__name__)

secert_key = os.urandom(16)

class Task:
    def __init__(self, action, param, sign, ip):
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        if(not os.path.exists(self.sandbox)):          #SandBox For Remote_Addr
            os.mkdir(self.sandbox)

    def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()):
            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print(resp)
                    tmpfile.write(resp)
                    tmpfile.close()
                result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
            if result['code'] == 500:
                result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result

    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False

#generate Sign For Action Scan.
@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)

@app.route('/De1ta',methods=['GET','POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if(waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())
@app.route('/')
def index():
    return open("code.txt","r").read()

def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"

def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()

def md5(content):
    return hashlib.md5(content).hexdigest()

def waf(param):
    check=param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False

if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0',port=80)

程式碼量不是很長,大概意思是建立了一個Task類,定義了若干個函式,利用時再剖析,三個路由

  1. geneSign路由:
    其呼叫了getSign函式,返回了經md5處理的值

  2. De1ta路由:
    通過get方法傳入param的值,在cookie中傳入action和sign的值,將param通過waf函式。再用傳入的引數構造一個Task類,執行Exec函式。
    首先看waf函式,禁了gopher協議和file協議,這麼打ssrf打不了了。
    再看exec函式,大概就是先判斷成功登陸,登陸成功後,讀經過scan掃描的param,那麼思路就出來了,如果我們傳入param的值為flag.txt,並且令action裡面有scan和read這兩個引數,即可讀取內容

  3. /路由:
    根目錄路由,指定了訪問根目錄時,會讀整個原始碼,並定義了一些基礎函式

大概思路明確了。

保證checkSign函式返回真

保證 getSign(self.action, self.param) == self.sign

即經過hashlib.md5(secert_key + param + action).hexdigest()處理

需要知道這三個字串連線後的md5值,但是縱觀原始碼並沒有哪裡有secert_key

方法一 字串拼接

我們又發現很有意思的一點,確認action的值時,使用的是in,並非是等於號,也就是說只要read在action裡即可。

因為使用的是連線符號加號(+),那麼傳入這兩個值時
md5(secert_key + 'flag.txt' + 'readscan')


md5(secert_key + 'flag.txtread' + 'scan')

其實是相同的字串md5(secert_keyflag.txtreadscan),經md5處理當然也相同

我們先令/geneSign?param=flag.txtread。在此頁面下我們可以獲得md5(secert_key + 'flag.txtread' + 'scan') 的值

再訪問/De1ta路由,在其中傳入cookie值和get請求即可獲得對應的flag

方法二 雜湊長度擴充套件攻擊

需要使用工具HashPump
原理見此篇
github原始碼

git clone https://github.com/bwall/HashPump.git
$ apt-get install g++ libssl-dev
$ cd HashPump
$ make
$ make install

首先在kali機下安裝,這裡我的kali機沒換國內源。。。先換國內源,然後如果有問題的話aptitude降級安裝

一步一步敲命令,完成後

使用方法:

使用方法:
Input Signature 為md5(salt+message)的值
Input Data 為message內容
Input Key Length 為salt+message長度
Input Data to Add 為自定義新增

(因為程式碼中告訴了secert_key為16位,這裡的sat看成16位的secert_key+8位的flag.txt即24位)

算出最後的值同樣放在cookie中即可(\x記得換成%,即url形式)

CVE-2019-9948

Python 2.x到2.7.16中的urllib支援local_file

local_file允許遠端攻擊者繞過保護機制

exp

這裡是使用的 urllib.urlopen(param) 去包含的檔案,所以可以直接加上檔案路徑 flag.txt 或 ./flag.txt 去訪問,也可以使用類似的 file:///app/flag.txt 去訪問,但是 file 關鍵字在黑名單裡,可以使用 local_file 代替
如果使用 urllib2.urlopen(param) 去包含檔案就必須加上 file ,否則會報 ValueError: unknown url type: /path/to/file 的錯誤

總結思路

  • 踏實的程式碼審計功底
  • MD5擴充套件攻擊
  • 搜尋cve,拿poc打

知識點

  • python程式碼審計
  • md5擴充套件攻擊

相關推薦

[De1CTF 2019]SSRF Me

前置知識 本題框架是flask框架,正好python面向物件和flask框架沒怎麼學,藉著這個好好學一下

[De1CTF 2019]SSRF Me

0x01 題目給出了原始碼,我們看一下原始碼 #! /usr/bin/env python #encoding=utf-8 from flask import Flask

[De1CTF 2019]SSRF Me(Flask框架的程式碼審計)

技術標籤:wp 參考文章:Flask框架快速入門學習 #! /usr/bin/env python #encoding=utf-8 from flask import Flask

[RCTF 2019]Nextphp

解題思路 打開發現,???,這麼簡單嘛,直接一句話寫shell file_put_contents(\'1.php\',\'<?php eval($_POST["pass"]);?>\');

[GWCTF 2019]你的名字

解題思路 打開發現需要輸入名字,猜測會有sql注入漏洞,測試一下發現單引號被過濾了,再fuzs下看看過濾了哪些

[GWCTF 2019]mypassword

解題思路 開啟網站,登陸框。註冊一個使用者後再登陸 看樣子是注入了,在feedback.php中發現註釋

[安洵杯 2019]不是檔案上傳

解題思路 這不是檔案上傳嘛? 傳傳傳,各種傳 檔案上傳 1.MIME型別檢測繞過 設定為image/jpeg,無果

BUU MISC記錄 [安洵杯 2019]Attack

[安洵杯 2019]Attack 知識點 流量分析 lsass.dmp 做過程 開啟流量包 流量包中有大量http、tcp包和一部分nbns、arp包,先看傳輸的東西有沒有問題

Python使用docx模組實現功能程式碼

起由: 前一陣子想要國二Python的庫,千方百計找到庫之後,開啟一個個word文件,發現一閱讀很麻煩,而且答案就在題目的下面,閱讀題目的時候想自己做出題目卻又總能不經意看到答案,甚煩!遂開始敲程

LeetCode力扣資料庫(183):從不訂購的客戶

文章目錄題目分析1.檢視customers表2.檢視orders表3.檢視訂單表中下單了的客戶id--cunstomersid4.過濾出顧客表中的id不在訂單表中的顧客資訊5.將過濾出的那些沒有下過單的顧客選擇出我們題目結果需要的列並改變列

-資料庫

給定一個 Weather 表,編寫一個 SQL 查詢,來查詢與之前(昨天的)日期相比溫度更高的所有日期的 Id。

vscode中配置LeetCode外掛的教程(愉快)

大家好,今早在B站看到up主的vscode裡藏了leetcode外掛,這才知道原來還有這款神器。但是沒想到在用的時候遇到了一些麻煩,花了一點時間才解決。所以寫這篇文章除了給大家安利這個好用的外掛之外,也是為了幫助更多的

LEETCODE 替換空格

#include<stdio.h> #include<stdlib.h> #include<string.h> void replaceBlank(char string[],int len)

leetcode筆記四十六 全排列

leetcode筆記四十六 全排列 源地址:46. 全排列 問題描述: 給定一個 沒有重複 數字的序列,返回其所有可能的全排列。

leetcode筆記五十三 最大子序和

leetcode筆記五十三 最大子序和 源地址:53. 最大子序和 問題描述: 給定一個整數陣列 nums ,找到一個具有最大和的連續子陣列(子陣列最少包含一個元素),返回其最大和。

leetcode筆記五十四 螺旋矩陣

leetcode筆記五十四 螺旋矩陣 源地址:54. 螺旋矩陣 問題描述: 給定一個包含 m x n 個元素的矩陣(m 行, n 列),請按照順時針螺旋順序,返回矩陣中的所有元素。

2020.7.10

3. 無重複字元的最長子串 第一次程式碼空間複雜度大: public class Solution { public int lengthOfLongestSubstring(String s) {

leetcode筆記五十八 最後一個單詞的長度

leetcode筆記五十八 最後一個單詞的長度 源地址:58. 最後一個單詞的長度 問題描述:

-LeetCode】165 Compare Version Numbers

Compare Version Numbers Compare two version numbers version1 and version2. If *version1* > *version2* return 1; if *version1* < *version2* return -1;otherwise return 0.

-LeetCode】179 Largest Number

Largest Number Given a list of non negative integers, arrange them such that they form the largest number.