Python Internal Read Gadgets

Informações Básicas

Diferentes vulnerabilidades como Python Format Strings ou Class Pollution podem permitir que você leia dados internos do Python, mas não permitirão que você execute código. Portanto, um pentester precisará aproveitar ao máximo essas permissões de leitura para obter privilégios sensíveis e escalar a vulnerabilidade.

Flask - Ler chave secreta

A página principal de uma aplicação Flask provavelmente terá o objeto global app onde esta chave secreta é configurada.

app = Flask(__name__, template_folder='templates')
app.secret_key = '(:secret:)'

Neste caso, é possível acessar este objeto apenas usando qualquer gadget para acessar objetos globais da página Bypass Python sandboxes.

No caso em que a vulnerabilidade está em um arquivo Python diferente, você precisa de um gadget para percorrer arquivos para chegar ao principal e acessar o objeto global app.secret_key para alterar a chave secreta do Flask e ser capaz de elevar privilégios conhecendo esta chave.

Uma carga útil como esta deste artigo:

__init__.__globals__.__loader__.__init__.__globals__.sys.modules.__main__.app.secret_key

Use este payload para alterar app.secret_key (o nome em seu aplicativo pode ser diferente) para poder assinar novos e mais privilégios cookies flask.

Werkzeug - machine_id e node uuid

Usando este payload deste artigo você será capaz de acessar o machine_id e o nó uuid, que são os segredos principais que você precisa para gerar o pin Werkzeug que você pode usar para acessar o console python em /console se o modo de depuração estiver habilitado:

{ua.__class__.__init__.__globals__[t].sys.modules[werkzeug.debug]._machine_id}
{ua.__class__.__init__.__globals__[t].sys.modules[werkzeug.debug].uuid._node}

Se a vulnerabilidade estiver em um arquivo Python diferente, verifique o truque anterior do Flask para acessar os objetos do arquivo Python principal.