[De1CTF 2019]SSRF Me——一个好的开端

[De1CTF 2019]SSRF Me

一.前言

今天抽出时间来学ssrf了，老样子最一开始的学习阶段会从简单的题目进行入手，然后逐渐去往深层次的方面学习。但是最近应该不会写博客写的那么频繁了，有关CTF的事情也都会放一放了，因为要期末了，而且因为一些缘故，期末考试的时间应该会提前，要开始忙起来了。

二.正文

题目没有给前端界面，直接把项目的源码打在了首页上面。源码如下：

#! /usr/bin/env python
# #encoding=utf-8
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json

reload(sys)
sys.setdefaultencoding('latin1')
app = Flask(__name__)
secert_key = os.urandom(16)


class Task:
    def __init__(self, action, param, sign, ip):
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        if (not os.path.exists(self.sandbox)):

    # SandBox For Remote_Addr os.mkdir(self.sandbox)
    def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()):
            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print(resp)
                    tmpfile.write(resp)
                    tmpfile.close()
                    result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
                if result['code'] == 500:
                    result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result

    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False
            # generate Sign For Action Scan.
            #

@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)

@app.route('/De1ta', methods=['GET', 'POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if (waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())

@app.route('/')
def index():
    return open("code.txt", "r").read()

def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"

def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()

def md5(content):
    return hashlib.md5(content).hexdigest()

def waf(param):
    check = param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False


if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0', port=80)

看完源码，我们稍微处理一下我们所得到的信息。
我们有两个路由：/De1ta和/geneSign
我们有了sign的生成过程

def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()

def md5(content):
    return hashlib.md5(content).hexdigest()

/De1ta页面会调用最主要的函数Exec()
这道题目的解法并不唯一，我这里用的方法应该是最容易想到的一种，利用字符串的拼接来解决这道题目。这个方法的的关键点有两个：1.在sign生成的时候，是用secret_key,param,action直接拼接生成的2.Exec()函数中判断语句用的是in而不是==。所以这就导致我们可以通过字符串拼接的方式来读取flag。
我们首先构造一个param=flag.txtread，从geneSign发送给过去这会生成一个由(secret_key+flag.txtread+scan)拼接生成的md5.
然后我们将这个值作为sign通过/De1ta页面post过去action用readscan。这样不仅可以通过checkSign(),而且还能够同时进入两个判断语句，第一个判断语句将flag写入result中，第二个判断语句读出flag。
我们来实践一下。


ok，拿到flag。

后记

嗯。。。自己还屯了几篇文章没有写，都只是截了图。不知道什么时候才能把所有的坑全都填完。