[De1CTF 2019]SSRF Me之愚见

今天在buuctf上尝试了一下[De1CTF 2019]SSRF Me这个题目，名字直接提示了考点所在，提醒我们注意利用服务端发起的请求。

Hint中写道flag在./flag.txt中，引导我们考虑如何利用SSRF读取flag.txt。

点开靶机，可见代码，其使用了Python的Flask框架。

代码流程比较清晰，先声明了一个Task类，绑定了若干个路由，声明了几个函数。我们访问/De1ta，并传参，服务端把我们传入的参数经过waf()函数处理后，构造一个Task的对象。

个人认为，值得引起注意的点至少有如下几个：1. 第31行和第41行对action的值进行判断，但此处使用的是 'in' 而不是 '=='，这意味着我们可以包含两种action；2. scan函数中的第82行，urlopen(param)可能是本题的关键点，这正与SSRF相合。

根据第二点，我们回溯一下哪里调用了scan()函数，发现仅有一处，它会scan我们可控的self.param。

我们注意到从此处self.param传入到scan函数里面的urlopen()，没有对self.param进行过滤，对param进行的过滤仅仅是在最开始构造对象时的一个waf()函数，它检测param是否已'gopher'或'file'开头，以此试图阻止我们使用gopher协议和file协议读取它本地的文件。我们在最开始学习文件包含漏洞的时候，参数直接写文件名也可以读取相应文件，个人理解这里的协议默认就是file协议，所以过滤可以说是没有效果的，我们若能控制param为'./flag.txt'，则能读取其中内容。flag在./flag.txt中，而能读取该文件的机会仅此一处，这里必然是破题的起点。

此处若能成功读取flag.txt，则将其中的内容写入result.txt中。

我们往下看：如果 'read' in self.action，则将result.txt读取并存到result['data']中，Exec()函数的最后，还返回了result，而在challenge()函数中，则返回了json.dumps(task.Exec())，亦即我们的此处的result。

如此一来，我们便有了一个大致思路：先进入/De1ta绑定的challenge()函数，将在Exec中的scan部分中将flag.txt的内容存入result.txt，然后从read部分中将其存到result字典中读出，再以json形式返回到客户端，我们就能得到flag。

接下来我们按着这个思路走，主体就在Exec()函数中。首先，要想进入对action判读的部分，必须先过一关，即if (self.checkSign())，我们跟进它，发现它的要求是 getSign(self.action,self.param) ==self.sign，我们继续跟进getSign()函数，

一开始看到这里，确实是触及知识的盲区了，于是在Python Shell里简单的做了下实验：

看来hexdigest()函数是帮助我们的。到现在，我们还面临一个问题是：secret_key是未知的，虽然一次运行过程中是个定值，但只能在运行代码的那一端获取。只要我们用心通读代码，就会知道这不是问题，在/geneSign绑定的geneSign中，将返回getSign('scan', param)，通过这个返回值，我们也许能够使用哈希长度扩展攻击，但我想的是直接在geneSign()中获取我们想要的字符串的哈希值。依我愚见，这是本题的本意。

经过这一番转换，我们可以这样理解，在checkSign()函数的比较中，左边是getSign(self.action, self.param)，右边是getSign('scan', param1)，如果再写深一点，左边是md5(key + self.param + self.action)，考虑到param会传入urlopen()，我们可以写成md5(key + 'flag.txt' + self.action)，其中，为了保证Exec()函数中scan部分和read部分都能被执行，self.action必须有'readscan'或'scanread'这样的子串。等号右边是md5(key + param1 + 'scan')，依此判断，self.action应包含'readscan'子串，如果不多给自己加戏的话，可以将self.action定为'readscan'。

这样一来，等号左边为md5(key + 'flag.txt' + 'readscan')，已被写死，等号右边的未定的参数也可也可确定，即md5(key + 'flag.txtread' + 'scan')。param1为'flag.txtread'依此传参，可得一个哈希值，这就是我们将传给self.sign的值。

到这里，这个题基本上就结束了，过了这个checkSign()函数，下面的代码都会按照我们构划的思路去执行。

传参给/De1ta，即可拿到flag。

收获

1.本题难度不高，选择这个题目写文章作为对自己表达能力的提升。

2.个人愚见，代码审计类型的题目总体上讲没有什么特别的套路，尤其是这种体量较小的代码，也不需要很大的脑洞，只要有较为扎实的基本功，认真的审计代码，找出关键点，耐心回溯与跟进，搞清流程，构建一个大体的思路，去实践去验证它的可行性，即使没有解出题目，也一定有提升。

3.知识方面，在其他前辈的博客中学习到了绕过本题waf()函数的方法，即使用local_file协议，前辈还提到：file协议也调用了封装的local_file协议。自身修行不够，还没有达到深入底层的境界，也算是get到新的知识点了。

4.有的前辈的博客里使用哈希长度扩展攻击解题，看起来确实是简单一些，但个人认为这个方法也还是建立在对代码有一定的理解的基础上的。

大胆应无惧，雄心誓不回。