【护网杯 2018】easy_tornado

SSTI注入、render()

在这里插入图片描述在这里插入图片描述
这里给出了三个页面
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

提示信息如下:
flag在 /fllllllllllllag 中,同时我们观察到无论访问哪个文件,url总是为file?filename=/xxx&filehash=xxx
在这里插入图片描述
再通过hints.txt的提示,不难得出 filehash=md5(cookie_secret+md5(filename))
现在filename已经有了 /fllllllllllllag 还需要cookie_secret
然后我用bp分别抓取这三个页面,我以为cookie_secret就是cookie值,结果bp里面根本没有cookie这个参数。又把三个filehash拿到md5去解密,解不出来。

扩展:SSTI注入
SSTI就是服务器端模板注入(Server-Side Template Injection),也给出了一个注入的概念。
服务端模板:相当于很多公式,根据变量输出结果。这里的模板就是模板引擎根据数据自动生成前端页面。常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞。SSTI也是获取了一个输入,然后在后端的渲染处理上进行了语句的拼接,然后执行。错误的执行了用户输入。类比于 sql注入。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对python、php、java的一些网站处理框架,比如Python的jinja2mako tornado django,php的smarty twig,java的jadevelocity。当这些框架对运用>渲染函数生成html的时候会出现SSTI的问题。

因为render()是tornado里的函数,可以生成html模板。是一个渲染函数 ,就是一个公式,能输出前端页面的公式。tornado是用Python编写的Web服务器兼Web应用框架,简单来说就是用来生成模板的东西。和Python相关,和模板相关,就可以推测这可能是个ssti注入题了。

/file?filename=/fllllllllllllag&filehash={{1}} //下面给出了为啥使用双花括号的原因

Tornado templates support control statements and expressions.
Controlstatements are surrounded by {% %}, e.g. {% if len(items) > 2 %}.
Expressions are surrounded by {{ }}, e.g. {{ items[0] }}.

在这里插入图片描述

模板注入必须通过传输型如{{xxx}}的执行命令。探测方式很简单,给一个参数赋值{{22*22}}返回484则必然存在模板注入。

我们的目的是通过这个msg拿到cookie_secret的值
Tornado框架的附属文件handler.settings中存在cookie_secret
Handler指向的处理当前这个页面的RequestHandler对象

RequestHandler中并没有settings这个属性,与RequestHandler关联的Application(Requestion.application)才有setting这个属性。handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了!

http://0eb11860-625c-477a-8c56-5ae8eab609e9.node4.buuoj.cn:81/error?msg={{handler.settings}}这这时就拿到了cookie_secret
在这里插入图片描述
‘cookie_secret’: ‘d36ae46d-0ef7-4d58-aa3c-7c27d031ba02’

去用下面这个式子得到 /fllllllllllllag 的filehash
filehash=md5(cookie_secret+md5(filename))
在这里插入图片描述
filehash = cc1979d330f4353c3774e486a2677bce

再带入这个式子里面拿到flag
file?filename=/xxx&filehash=xxx
file?filename=/fllllllllllllag&filehash=cc1979d330f4353c3774e486a2677bce

在这里插入图片描述

  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

阿哲也要努力学习!

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值