Werkzeug / Flask Debug
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Configuração instantaneamente disponível para avaliação de vulnerabilidades e testes de penetração. Execute um pentest completo de qualquer lugar com mais de 20 ferramentas e recursos que vão de reconhecimento a relatórios. Não substituímos os pentesters - desenvolvemos ferramentas personalizadas, módulos de detecção e exploração para dar a eles mais tempo para investigar mais a fundo, explorar vulnerabilidades e se divertir.
Console RCE
Se o debug estiver ativo, você pode tentar acessar /console
e obter RCE.
Há também vários exploits na internet como este ou um no metasploit.
Protegido por PIN - Traversal de Caminho
Em algumas ocasiões, o endpoint /console
estará protegido por um pin. Se você tiver uma vulnerabilidade de traversal de arquivo, pode vazar todas as informações necessárias para gerar esse pin.
Exploit de PIN da Console do Werkzeug
Force uma página de erro de depuração no aplicativo para ver isso:
Uma mensagem sobre o cenário "console locked" é encontrada ao tentar acessar a interface de depuração do Werkzeug, indicando a necessidade de um PIN para desbloquear o console. A sugestão é explorar o PIN do console analisando o algoritmo de geração de PIN no arquivo de inicialização de depuração do Werkzeug (__init__.py
). O mecanismo de geração de PIN pode ser estudado no repositório de código-fonte do Werkzeug, embora seja aconselhável obter o código do servidor real por meio de uma vulnerabilidade de travessia de arquivos devido a possíveis discrepâncias de versão.
Para explorar o PIN do console, são necessárias duas conjuntos de variáveis, probably_public_bits
e private_bits
:
probably_public_bits
probably_public_bits
username
: Refere-se ao usuário que iniciou a sessão Flask.modname
: Geralmente designado comoflask.app
.getattr(app, '__name__', getattr(app.__class__, '__name__'))
: Geralmente resolve para Flask.getattr(mod, '__file__', None)
: Representa o caminho completo paraapp.py
dentro do diretório Flask (por exemplo,/usr/local/lib/python3.5/dist-packages/flask/app.py
). Seapp.py
não for aplicável, tenteapp.pyc
.
private_bits
private_bits
uuid.getnode()
: Obtém o endereço MAC da máquina atual, comstr(uuid.getnode())
traduzindo-o para um formato decimal.Para determinar o endereço MAC do servidor, deve-se identificar a interface de rede ativa usada pelo aplicativo (por exemplo,
ens3
). Em casos de incerteza, leak/proc/net/arp
para encontrar o ID do dispositivo, então extraia o endereço MAC de/sys/class/net/<device id>/address
.A conversão de um endereço MAC hexadecimal para decimal pode ser realizada como mostrado abaixo:
get_machine_id()
: Concatena dados de/etc/machine-id
ou/proc/sys/kernel/random/boot_id
com a primeira linha de/proc/self/cgroup
após a última barra (/
).
Last updated