De1CTF—SSRF Me

最新推荐文章于 2025-07-01 19:59:11 发布
原创 最新推荐文章于 2025-07-01 19:59:11 发布 · 6.5k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文分析了一道CTF比赛中的SSRF题目,涉及Flask应用源码审查。通过研究代码,发现可以利用哈希长度扩展攻击伪造签名,从而读取flag.txt内容。关键在于getSign函数的签名生成逻辑和WAF过滤规则,以及Exec方法中对action的处理,最终实现了从扫描到读取文件的结果。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SSRF Me

hint:flag is in ./flag.txt

拿到题目打开即是源码
[外链图片转存失败(img-4fvbV954-1565663673662)(/images/De1CTF/1.png)]
右击查看源码发现是flask写的代码,有一个Task类和三个路由
[外链图片转存失败(img-tXlUZqeK-1565663673664)(/images/De1CTF/2.png)]
接下来分析一下三个路由

#generate Sign For Action Scan.
@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)


@app.route('/De1ta',methods=['GET','POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get(
最低0.47元/天 解锁文章

200万优质内容无限畅学
[De1ctf 2019]SSRF Me(哈希拓展攻击)
2301_76690905的博客
01-08 2046
在secret_key + param + action里,已知secert_key = os.urandom(16)(长度16),已知明文flag.txt(param)和scan(action),我们需要添加read。把flag.txt算进秘钥长度里,则秘钥长度为16+8,已知明文为scan,已知hash为8370a8f86a7a74b4053d1bc554a9d126,拓展明文为read,启动刚刚的脚本依次填入得到新明文和新hash,
[De1CTF 2019]SSRF Me1
m0_73673698的博客
07-24 602
既然/geneSign路由能够返回sign值并且sign值还是md5(secret_key+param+action)的值(因为在python中+代表字符串直接拼接)也就是md5(xxxflag.txtreadscan),又因为在geneSign这一路由中action是固定的等于scan,所以我们要想得到readscan的sign值那么我们可以令param=flag.txtread。通过sign传递然后令action=readscan,通过get方法去传递param=flag.txt,得到flag。
CTF自学-SSRF(1)
最新发布
m0_61926696的博客
07-01 398
SSRF(Server-Side Request Forgery)即服务端请求伪造,应用的场景通常是在已经获取某台服务器的漏洞后,利用这台服务器发送请求获取同一内网环境中其他服务器上的资源(或者本服务器上的其他资源),这些资源通常是在内网环境中开放访问而对外网ip则进行限制。
[De1CTF 2019]SSRF Me1 解题思路
xiyuanyue的博客
10-10 608
1、/De1ta接口 md5(secert_key +param+action) 生成的sign 等于 接口 /geneSign 的sign md5(secert_key + param + 'scan')1、读取cookie中的action、sign 客户端ip 和 param参数值,当param参数值不是gopher、file绕过waf,初始化类 Task ,然后调用类的exec 方法。构建出来paload 尝试读取/etc/passwd 文件,成功读取/etc/passwd文件内容。
De1ctfSSRF ME多种方法
weixin_44255856的博客
08-09 7436
SSRF Me buuctf有靶场复现地址:http://web68.buuoj.cn/ 出题人给了hint:hint for [SSRF Me]: flag is in ./flag.txt 第一种方法:利用scan方法直接读取flag.txt 打开网页f12获取源码。 #! /usr/bin/env python #encoding=utf-8 from flask import Fla...
ssrfme(flask代码审计)
weixin_52780973的博客
10-31 684
简单的flask框架代码审计
[De1CTF 2019]SSRF Me 1
plant1234的博客
04-06 1658
[De1CTF 2019]SSRF Me 1 SSRF概述 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。 打
buuctf-[De1CTF 2019]SSRF Me
weixin_43345082的博客
12-30 1178
打开页面就是源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefault...
[De1CTF 2019]SSRF Me
怪味巧克力的博客
07-14 242
0x01 题目给出了源码,我们看一下源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__) s
SSRF Me
s_hiy_iyi的博客
09-27 93
url那里提交的file:///flag可能拼接到url后面当参数提交,那我们试试url编码提交看看。不行 读文件 http:///etc/passwd 读/flag看看行不行。查看源代码, hint 不能访问内网 请求本地地址。%66%6c%61%67 得flag。返回hacker,说明有过滤。
攻防世界-----ssrf me
2301_76872222的博客
02-26 517
攻防世界--ssrf me 本地访问 python脚本编写
[De1CTF 2019]SSRF Me(flask框架)
qq_44657899的博客
04-20 2769
题目首先提示了flag的位置,结合题目名字ssrf,可以得到一个大概的思路。 然后打开题目,直接给了源码: #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys im...
[de1ctf 2019]ssrf me 1
03-16
[de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值