[De1CTF 2019]SSRF Me
这题进去后题目直接给出源代码
#! /usr/bin/env python
#encoding=utf-8
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json
reload(sys)
sys.setdefaultencoding('latin1')
app = Flask(__name__)
secert_key = os.urandom(16)
class Task:
def __init__(self, action, param, sign, ip):
self.action = action
self.param = param
self.sign = sign
self.sandbox = md5(ip)
if(not os.path.exists(self.sandbox)): #SandBox For Remote_Addr
os.mkdir(self.sandbox)
def Exec(self):
result = {}
result['code'] = 500
if (self.checkSign()):
if "scan" in self.action:
tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
resp = scan(self.param)
if (resp == "Connection Timeout"):
result['data'] = resp
else:
print resp
tmpfile.write(resp)
tmpfile.close()
result['code'] = 200
if "read" in self.action:
f = open("./%s/result.txt" % self.sandbox, 'r')
result['code'] = 200
result['data'] = f.read()
if result['code'] == 500:
result['data'] = "Action Error"
else:
result['code'] = 500
result['msg'] = "Sign Error"
return result
def checkSign(self):
if (getSign(self.action, self.param) == self.sign):
return True
else:
return False
#generate Sign For Action Scan.
@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
param = urllib.unquote(request.args.get("param", ""))
action = "scan"
return getSign(action, param)
@app.route('/De1ta',methods=['GET','POST'])
def challenge():
action = urllib.unquote(request.cookies.get("action"))
param = urllib.unquote(request.args.get("param", ""))
sign = urllib.unquote(request.cookies.get("sign"))
ip = request.remote_addr
if(waf(param)):
return "No Hacker!!!!"
task = Task(action, param, sign, ip)
return json.dumps(task.Exec())
@app.route('/')
def index():
return open("code.txt","r").read()
def scan(param):
socket.setdefaulttimeout(1)
try:
return urllib.urlopen(param).read()[:50]
except:
return "Connection Timeout"
def getSign(action, param):
return hashlib.md5(secert_key + param + action).hexdigest()
def md5(content):
return hashlib.md5(content).hexdigest()
def waf(param):
check=param.strip().lower()
if check.startswith("gopher") or check.startswith("file"):
return True
else:
return False
if __name__ == '__main__':
app.debug = False
app.run(host='0.0.0.0')
那话不多说,我们先来分析一下源代码吧
从这代码我们不难看出,这是个flask架构的网站,有三个路由,其中一个路由/是用来显示源代码的,还剩两个路由,我们先看看/De1ta吧
这个路由很常规的,先获取三个参数action,param,sign的值,接下来param参数的值会被传入waf函数检查 我们看waf函数的代码不难发现他其实就是检查param参数里面有没有用到gopher和file两个协议,这两个协议被禁止了
回到/De1ta路由的代码,在param参数经过waf检查后,action,param,sign,ip这四个参数将会被用来生成一个Task类的对象 这个类值得关注的就是它会把传入的IP地址经过md5加密后作为一个文件夹的名字,并创建该文件夹,action,param,sign这三个正常赋值作为Task类的属性
再回到/De1ta路由的代码,可以看Task类对象创建后,那个对象要调用Task类的Exec函数 我们来看看Exec函数的代码 这里首先要执行checkSign函数,那我们看看checkSign函数的代码 这里要提一下这个函数也是Task类的一个方法,所以传入到这里的action和param和sign就是我们上面生成那个对象的属性,这里要把action和param传入getSign函数来判断它们的返回值和sign是否相等,我们看看getSign函数的代码 这个函数把secert_key的值加上action和param的值后进行md5加密就返回了,但这里得注意的是secert_key我们是不知道的
Exec函数的代码 我们可以看到,如果checkSign函数返回真值,也就是md5(secert_key + param + action)和sign的值相等的话,我们就可以根据action函数的值执行不同功能
如果action的值是scan,那么他会打开前面对象创建时产生的文件夹里的result.txt文件,然后param参数的值会被scan函数调用,从下面scan函数的代码不难看出他会把param参数指明的文件打开,接着他会把文件内容写入result.txt 看到这大概就有个思路了,让action的值为scan,然后param的值为flag.txt的话,就可以把flag写入result.txt
接着往下看Exec的代码 如果action的值为read,它就会读result.txt的内容,配合上面scan的功能,那我们就可以读flag的内容咯
看到这,这题的思路其实已经很清楚了,现在唯一的目标就是让checkSign函数返回真值,也就是md5(secert_key + param + action)和sign的值相等
我们看下最后一个路由的内容 哦吼,它action的值固定是scan,param的值我们自己传入,然后会调用getSign函数,那这样如果我们传入的param是flag.txt,getSign函数返回的内容就是**md5(secert_key+flag.txtscan)**的值,如果再把这个值给sign参数,param参数是flag.txt,action参数是scan传入/De1ta路由,就可以把flag写入result.txt,但是我们仅仅这样读不了flag
很头疼的是他这里action写死了是scan,要读的话action得是read,得找办法绕过这里。
回去看了Exec的代码后有了意外的发现,它这里用的是in判断read和scan在不在action中,并不是read和scan一定要只有它们自己在才可以,也就是说如果action是readscan,那就能同时满足读写的要求,而且代码**md5(secert_key+flag.txtscan)**用的是拼接的方式,所以我们可以构造param参数为param=flag.txtread,那这样我们就能够得到md5(secert_key+flag.txtreadscan)的md5值 所以我们先访问获得其MD5的值 再访问De1ta页面进行参数传递,拿到flag
|