IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> Python知识库 -> [De1CTF 2019]SSRF Me -> 正文阅读

[Python知识库][De1CTF 2019]SSRF Me

[De1CTF 2019]SSRF Me

这题进去后题目直接给出源代码

#! /usr/bin/env python
#encoding=utf-8
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json
reload(sys)
sys.setdefaultencoding('latin1')

app = Flask(__name__)

secert_key = os.urandom(16)


class Task:
    def __init__(self, action, param, sign, ip):
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        if(not os.path.exists(self.sandbox)):          #SandBox For Remote_Addr
            os.mkdir(self.sandbox)

    def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()):
            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print resp
                    tmpfile.write(resp)
                    tmpfile.close()
                result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
            if result['code'] == 500:
                result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result

    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False


#generate Sign For Action Scan.
@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)


@app.route('/De1ta',methods=['GET','POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if(waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())
@app.route('/')
def index():
    return open("code.txt","r").read()


def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"



def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()


def md5(content):
    return hashlib.md5(content).hexdigest()


def waf(param):
    check=param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False


if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0')

那话不多说,我们先来分析一下源代码吧

从这代码我们不难看出,这是个flask架构的网站,有三个路由,其中一个路由/是用来显示源代码的,还剩两个路由,我们先看看/De1ta吧

在这里插入图片描述
这个路由很常规的,先获取三个参数action,param,sign的值,接下来param参数的值会被传入waf函数检查
在这里插入图片描述我们看waf函数的代码不难发现他其实就是检查param参数里面有没有用到gopher和file两个协议,这两个协议被禁止了

回到/De1ta路由的代码,在param参数经过waf检查后,action,param,sign,ip这四个参数将会被用来生成一个Task类的对象
在这里插入图片描述
这个类值得关注的就是它会把传入的IP地址经过md5加密后作为一个文件夹的名字,并创建该文件夹,action,param,sign这三个正常赋值作为Task类的属性

再回到/De1ta路由的代码,可以看Task类对象创建后,那个对象要调用Task类的Exec函数
在这里插入图片描述
我们来看看Exec函数的代码
在这里插入图片描述
这里首先要执行checkSign函数,那我们看看checkSign函数的代码
在这里插入图片描述
这里要提一下这个函数也是Task类的一个方法,所以传入到这里的action和param和sign就是我们上面生成那个对象的属性,这里要把action和param传入getSign函数来判断它们的返回值和sign是否相等,我们看看getSign函数的代码
在这里插入图片描述
这个函数把secert_key的值加上action和param的值后进行md5加密就返回了,但这里得注意的是secert_key我们是不知道的

Exec函数的代码
在这里插入图片描述
我们可以看到,如果checkSign函数返回真值,也就是md5(secert_key + param + action)和sign的值相等的话,我们就可以根据action函数的值执行不同功能

如果action的值是scan,那么他会打开前面对象创建时产生的文件夹里的result.txt文件,然后param参数的值会被scan函数调用,从下面scan函数的代码不难看出他会把param参数指明的文件打开,接着他会把文件内容写入result.txt
在这里插入图片描述
在这里插入图片描述
看到这大概就有个思路了,让action的值为scan,然后param的值为flag.txt的话,就可以把flag写入result.txt

接着往下看Exec的代码
在这里插入图片描述
如果action的值为read,它就会读result.txt的内容,配合上面scan的功能,那我们就可以读flag的内容咯

看到这,这题的思路其实已经很清楚了,现在唯一的目标就是让checkSign函数返回真值,也就是md5(secert_key + param + action)和sign的值相等

我们看下最后一个路由的内容
在这里插入图片描述
哦吼,它action的值固定是scan,param的值我们自己传入,然后会调用getSign函数,那这样如果我们传入的param是flag.txt,getSign函数返回的内容就是**md5(secert_key+flag.txtscan)**的值,如果再把这个值给sign参数,param参数是flag.txt,action参数是scan传入/De1ta路由,就可以把flag写入result.txt,但是我们仅仅这样读不了flag

很头疼的是他这里action写死了是scan,要读的话action得是read,得找办法绕过这里。

回去看了Exec的代码后有了意外的发现,它这里用的是in判断read和scan在不在action中,并不是read和scan一定要只有它们自己在才可以,也就是说如果action是readscan,那就能同时满足读写的要求,而且代码**md5(secert_key+flag.txtscan)**用的是拼接的方式,所以我们可以构造param参数为param=flag.txtread,那这样我们就能够得到md5(secert_key+flag.txtreadscan)的md5值
在这里插入图片描述
所以我们先访问获得其MD5的值
在这里插入图片描述
再访问De1ta页面进行参数传递,拿到flag
在这里插入图片描述

  Python知识库 最新文章
Python中String模块
【Python】 14-CVS文件操作
python的panda库读写文件
使用Nordic的nrf52840实现蓝牙DFU过程
【Python学习记录】numpy数组用法整理
Python学习笔记
python字符串和列表
python如何从txt文件中解析出有效的数据
Python编程从入门到实践自学/3.1-3.2
python变量
上一篇文章      下一篇文章      查看所有文章
加:2021-09-07 10:46:22  更:2021-09-07 10:46:37 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/15 14:46:21-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码