美文网首页
[De1CTF 2019]SSRF Me之愚见

[De1CTF 2019]SSRF Me之愚见

作者: 天水麒麟儿_ | 来源:发表于2019-10-25 23:42 被阅读0次

今天在buuctf上尝试了一下[De1CTF 2019]SSRF Me这个题目,名字直接提示了考点所在,提醒我们注意利用服务端发起的请求。

Hint中写道flag在./flag.txt中,引导我们考虑如何利用SSRF读取flag.txt。

点开靶机,可见代码,其使用了Python的Flask框架。

代码流程比较清晰,先声明了一个Task类,绑定了若干个路由,声明了几个函数。我们访问/De1ta,并传参,服务端把我们传入的参数经过waf()函数处理后,构造一个Task的对象。

个人认为,值得引起注意的点至少有如下几个:1. 第31行和第41行对action的值进行判断,但此处使用的是 'in' 而不是 '==',这意味着我们可以包含两种action;2. scan函数中的第82行,urlopen(param)可能是本题的关键点,这正与SSRF相合。

根据第二点,我们回溯一下哪里调用了scan()函数,发现仅有一处,它会scan我们可控的self.param。

我们注意到从此处self.param传入到scan函数里面的urlopen(),没有对self.param进行过滤,对param进行的过滤仅仅是在最开始构造对象时的一个waf()函数,它检测param是否已'gopher'或'file'开头,以此试图阻止我们使用gopher协议和file协议读取它本地的文件。我们在最开始学习文件包含漏洞的时候,参数直接写文件名也可以读取相应文件,个人理解这里的协议默认就是file协议,所以过滤可以说是没有效果的,我们若能控制param为'./flag.txt',则能读取其中内容。flag在./flag.txt中,而能读取该文件的机会仅此一处,这里必然是破题的起点。

此处若能成功读取flag.txt,则将其中的内容写入result.txt中。

我们往下看:如果 'read' in self.action,则将result.txt读取并存到result['data']中,Exec()函数的最后,还返回了result,而在challenge()函数中,则返回了json.dumps(task.Exec()),亦即我们的此处的result。

如此一来,我们便有了一个大致思路:先进入/De1ta绑定的challenge()函数,将在Exec中的scan部分中将flag.txt的内容存入result.txt,然后从read部分中将其存到result字典中读出,再以json形式返回到客户端,我们就能得到flag。

接下来我们按着这个思路走,主体就在Exec()函数中。首先,要想进入对action判读的部分,必须先过一关,即if (self.checkSign()),我们跟进它,发现它的要求是 getSign(self.action,self.param) ==self.sign,我们继续跟进getSign()函数,

一开始看到这里,确实是触及知识的盲区了,于是在Python Shell里简单的做了下实验:

看来hexdigest()函数是帮助我们的。到现在,我们还面临一个问题是:secret_key是未知的,虽然一次运行过程中是个定值,但只能在运行代码的那一端获取。只要我们用心通读代码,就会知道这不是问题,在/geneSign绑定的geneSign中,将返回getSign('scan', param),通过这个返回值,我们也许能够使用哈希长度扩展攻击,但我想的是直接在geneSign()中获取我们想要的字符串的哈希值。依我愚见,这是本题的本意。

经过这一番转换,我们可以这样理解,在checkSign()函数的比较中,左边是getSign(self.action, self.param),右边是getSign('scan', param1),如果再写深一点,左边是md5(key + self.param + self.action),考虑到param会传入urlopen(),我们可以写成md5(key + 'flag.txt' + self.action),其中,为了保证Exec()函数中scan部分和read部分都能被执行,self.action必须有'readscan'或'scanread'这样的子串。等号右边是md5(key + param1 + 'scan'),依此判断,self.action应包含'readscan'子串,如果不多给自己加戏的话,可以将self.action定为'readscan'。

这样一来,等号左边为md5(key + 'flag.txt' + 'readscan'),已被写死,等号右边的未定的参数也可也可确定,即md5(key + 'flag.txtread' + 'scan')。param1为'flag.txtread'依此传参,可得一个哈希值,这就是我们将传给self.sign的值。

到这里,这个题基本上就结束了,过了这个checkSign()函数,下面的代码都会按照我们构划的思路去执行。

传参给/De1ta,即可拿到flag。

收获

1.本题难度不高,选择这个题目写文章作为对自己表达能力的提升。

2.个人愚见,代码审计类型的题目总体上讲没有什么特别的套路,尤其是这种体量较小的代码,也不需要很大的脑洞,只要有较为扎实的基本功,认真的审计代码,找出关键点,耐心回溯与跟进,搞清流程,构建一个大体的思路,去实践去验证它的可行性,即使没有解出题目,也一定有提升。

3.知识方面,在其他前辈的博客中学习到了绕过本题waf()函数的方法,即使用local_file协议,前辈还提到:file协议也调用了封装的local_file协议。自身修行不够,还没有达到深入底层的境界,也算是get到新的知识点了。

4.有的前辈的博客里使用哈希长度扩展攻击解题,看起来确实是简单一些,但个人认为这个方法也还是建立在对代码有一定的理解的基础上的。

大胆应无惧,雄心誓不回。

相关文章

  • [De1CTF 2019]SSRF Me之愚见

    今天在buuctf上尝试了一下[De1CTF 2019]SSRF Me这个题目,名字直接提示了考点所在,提醒我们注...

  • De1CTF 2019-WEB-SSRF Me

    复现地址:https://buuoj.cn/challenges#[De1CTF%202019]SSRF%20Me...

  • 利用PHP反序列化免杀D盾等WAF软件

    这次这篇文章想法主要是在de1ctf一题shellshellshell过反序列化漏洞制造SSRF登录,然后如果用反...

  • 6月安恒杯web2 —— 一道SSRF题

    title: 一道SSRF题date: 2019-07-04 13:42:44tags:- CTF- SSRF- ...

  • [hitcon2017] SSRF Me复现

    分享本题自制Dockerfile:Github 题目给出了源码: 分析源码, 可以得到程序的流程是这样的: 和前面...

  • SSRF学习

    title: SSRF学习date: 2019-03-27 19:52:10tags:- SSRFcategori...

  • 2019 De1CTF Web wp

    0x01 SSRF ME 这题没什么难度,就不多说了,根据代码逻辑构造hash拓展攻击,坑的就是找flag找了半天...

  • 《茶馆》之愚见

    我认为老舍的《茶馆》是对当时文学的担忧与抗争。老舍构建茶馆这样一个文学世界,通过展现多元文化的碰撞,对一贯的“高大...

  • 让座之愚见

    作为一名上班族,我上下班常用的交通工具是公交车,偶尔坐地铁。每天最少两趟的出行,让我从让座这件小事目睹人间百态。 ...

  • 奥运之愚见

    奥运来到第七个比赛日,我是个体育迷,每天都会呆在电视机前看很长时间。在刚刚结束的女子铅球比赛中,美国选手最后一投超...

网友评论

      本文标题:[De1CTF 2019]SSRF Me之愚见

      本文链接:https://www.haomeiwen.com/subject/zuhvlctx.html