今天在buuctf上尝试了一下[De1CTF 2019]SSRF Me这个题目,名字直接提示了考点所在,提醒我们注意利用服务端发起的请求。
Hint中写道flag在./flag.txt中,引导我们考虑如何利用SSRF读取flag.txt。
点开靶机,可见代码,其使用了Python的Flask框架。
代码流程比较清晰,先声明了一个Task类,绑定了若干个路由,声明了几个函数。我们访问/De1ta,并传参,服务端把我们传入的参数经过waf()函数处理后,构造一个Task的对象。
个人认为,值得引起注意的点至少有如下几个:1. 第31行和第41行对action的值进行判断,但此处使用的是 'in' 而不是 '==',这意味着我们可以包含两种action;2. scan函数中的第82行,urlopen(param)可能是本题的关键点,这正与SSRF相合。
根据第二点,我们回溯一下哪里调用了scan()函数,发现仅有一处,它会scan我们可控的self.param。
我们注意到从此处self.param传入到scan函数里面的urlopen(),没有对self.param进行过滤,对param进行的过滤仅仅是在最开始构造对象时的一个waf()函数,它检测param是否已'gopher'或'file'开头,以此试图阻止我们使用gopher协议和file协议读取它本地的文件。我们在最开始学习文件包含漏洞的时候,参数直接写文件名也可以读取相应文件,个人理解这里的协议默认就是file协议,所以过滤可以说是没有效果的,我们若能控制param为'./flag.txt',则能读取其中内容。flag在./flag.txt中,而能读取该文件的机会仅此一处,这里必然是破题的起点。
此处若能成功读取flag.txt,则将其中的内容写入result.txt中。
我们往下看:如果 'read' in self.action,则将result.txt读取并存到result['data']中,Exec()函数的最后,还返回了result,而在challenge()函数中,则返回了json.dumps(task.Exec()),亦即我们的此处的result。
如此一来,我们便有了一个大致思路:先进入/De1ta绑定的challenge()函数,将在Exec中的scan部分中将flag.txt的内容存入result.txt,然后从read部分中将其存到result字典中读出,再以json形式返回到客户端,我们就能得到flag。
接下来我们按着这个思路走,主体就在Exec()函数中。首先,要想进入对action判读的部分,必须先过一关,即if (self.checkSign()),我们跟进它,发现它的要求是 getSign(self.action,self.param) ==self.sign,我们继续跟进getSign()函数,
一开始看到这里,确实是触及知识的盲区了,于是在Python Shell里简单的做了下实验:
看来hexdigest()函数是帮助我们的。到现在,我们还面临一个问题是:secret_key是未知的,虽然一次运行过程中是个定值,但只能在运行代码的那一端获取。只要我们用心通读代码,就会知道这不是问题,在/geneSign绑定的geneSign中,将返回getSign('scan', param),通过这个返回值,我们也许能够使用哈希长度扩展攻击,但我想的是直接在geneSign()中获取我们想要的字符串的哈希值。依我愚见,这是本题的本意。
经过这一番转换,我们可以这样理解,在checkSign()函数的比较中,左边是getSign(self.action, self.param),右边是getSign('scan', param1),如果再写深一点,左边是md5(key + self.param + self.action),考虑到param会传入urlopen(),我们可以写成md5(key + 'flag.txt' + self.action),其中,为了保证Exec()函数中scan部分和read部分都能被执行,self.action必须有'readscan'或'scanread'这样的子串。等号右边是md5(key + param1 + 'scan'),依此判断,self.action应包含'readscan'子串,如果不多给自己加戏的话,可以将self.action定为'readscan'。
这样一来,等号左边为md5(key + 'flag.txt' + 'readscan'),已被写死,等号右边的未定的参数也可也可确定,即md5(key + 'flag.txtread' + 'scan')。param1为'flag.txtread'依此传参,可得一个哈希值,这就是我们将传给self.sign的值。
到这里,这个题基本上就结束了,过了这个checkSign()函数,下面的代码都会按照我们构划的思路去执行。
传参给/De1ta,即可拿到flag。
收获
1.本题难度不高,选择这个题目写文章作为对自己表达能力的提升。
2.个人愚见,代码审计类型的题目总体上讲没有什么特别的套路,尤其是这种体量较小的代码,也不需要很大的脑洞,只要有较为扎实的基本功,认真的审计代码,找出关键点,耐心回溯与跟进,搞清流程,构建一个大体的思路,去实践去验证它的可行性,即使没有解出题目,也一定有提升。
3.知识方面,在其他前辈的博客中学习到了绕过本题waf()函数的方法,即使用local_file协议,前辈还提到:file协议也调用了封装的local_file协议。自身修行不够,还没有达到深入底层的境界,也算是get到新的知识点了。
4.有的前辈的博客里使用哈希长度扩展攻击解题,看起来确实是简单一些,但个人认为这个方法也还是建立在对代码有一定的理解的基础上的。
