[护网杯 2018]easy_tornado

最新推荐文章于 2024-07-20 17:49:22 发布
最新推荐文章于 2024-07-20 17:49:22 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: BUUCTF 文章标签: tornado web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yb_140/article/details/126712790
版权
本文详细介绍了通过分析Tornado框架的render函数,利用SSTI漏洞寻找cookie_secret的过程。通过尝试不同的payload,最终成功构造了请求,获取了flag。同时,提到了在PHP中处理连接字符串时需要注意的细节。
摘要由CSDN通过智能技术生成

题目打开有三个链接

点第一个发现

第三个

猜测这里的filehash就是md5加密得到的,我们需要找到cookie_secret

在第二个链接中

有个render,而且题目是easy_tornado,可是SSTI

因为render()是tornado里的函数,可以生成html模板。是一个渲染函数 ,就是一个公式,能输出前端页面的公式。

tornado是用Python编写的Web服务器兼Web应用框架,简单来说就是用来生成模板的东西。和Python相关,和模板相关

尝试

/file?filename=/fllllllllllllag&filehash={{1}}

发现

报错,可能存在过滤

然后我们需要找到cookie_secret

百度得到Tornado框架的附属文件handler.settings中存在cookie_secret

此时构造payload:

http://71b67625-1f9d-4e09-bcb6-cee825a1a3a5.node4.buuoj.cn:81/error?msg={{handler.settings}}

得到提示信息,得到cookie_secret:61375ac6-5e1d-4510-a256-12786c3e1f09

然后结合md5(cookie_secret+md5(filename))

即md5('61375ac6-5e1d-4510-a256-12786c3e1f09'+md5('/fllllllllllllag'))

得到

(注意使用php写的话中间的是 “.”)

然后得到payload:

/file?filename=/fllllllllllllag&filehash=17f40d52bf376fb1d8637095e2854997

得到flag

超级兵_140
关注
专栏目录
【网络安全 | CTF】护网2018easy_tornado解题详析(Tornado之SSTI注入)
等风来
08-24 3963
提示:filename先被md5加密后,结合cookie_secret,再次被md5加密姿势进入页面给出三个链接:提示:filename先被md5加密后,结合cookie_secret,再次被md5加密先加密filename:得到:3bf9f6cf685a6dd8defadabfb41先加密filename:可知存在模板注入,而Tornado框架的附属文件handler.settings中存在cookie_secret故get传参:/error?msg={{handler.settings}}得到
【网络安全 | CTF】攻防世界护网 2018 easy_tornado
等风来
07-23 3736
tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。或一个目录是“/Users/python/tornado-file-read/static_private/”,传入某文件的路径为“/Users/python/tornado-file-read/static/”将得到的cookie_secret同加密的内容一同进行加密。
护网 2018easy_tornado
Lixunzhe0112的博客
01-17 655
常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞。错误的执行了用户输入。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对python、php、java的一些网站处理框架,比如Python的jinja2mako tornado django,php的smarty twig,java的jadevelocity。
BUUCTF [护网 2018] easy_tornado1
m0_74167420的博客
06-18 371
Handler指向的处理当前这个页面的RequestHandler对象,handler是RequestHandler的别名,而上面又提到RequestHandler.settings是self.application.settings的别名。2、render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,即可进行SSTI模板注入或者XSS注入。(4)访问出错后出现如下界面,输入{{1}},测试得出存在SSTI模板注入漏洞。
[护网 2018]easy_tornado1
最新发布
weixin_63920195的博客
07-20 653
当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架,比如Python的jinja2 mako tornado django,php的smarty twig,java的jadevelocity。当这些框架对运用渲染函数生成html的时候会出现SSTI的问题。所有handler.settings就指向RequestHandler.application.settings了。SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。
buuojweb刷题wp详解及知识整理—-【护网easy_tornado(模板注入+md5)
01-20
写在前面 服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 ...回显 render 而且url处有异常 同理测试其他选项 ...
[护网 2018]easy_tornado(SSTI服务器端模板注入)
weixin_45253573的博客
11-12 690
tornado Tornado是一种 Web 服务器软件的开源版本。Tornado 和主流Web 服务器框架(包括大多数 Python 的框架)有着明显的区别:它是非阻塞式服务器,而且速度相当快。 可以考虑服务器端模板注入 参考SSTI完全学习 SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行,SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架,比如Python的jinja2 mako tornado django,php的smarty
【BUUCTF】web 之 [护网 2018]easy_tornado
weixin_44164784的博客
04-07 393
打开出现三个目录: /flag.txt /welcome.txt /hints.txt 依次点开查看 flag.txt 告诉我们flag在哪里 点开welcome.txt 显示 render 之后百度:tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页。漏洞在于用户对他可控的话,可以通过{{}}传递变量或者执行表达式 /hints.txt...
[护网 2018]easy_tornado WriteUp(超级详细!)
lunan的博客
04-22 3559
[护网 2018]easy_tornado   打开题目后,首先发现3个超链接   依次点开三个链接    网址里有参数filename和filehash推测这里flag应该是 filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(filename))里面,filehash里hash就是提示为md5的hash加密。    变量 filename 的值总是为要访问的文件,再根据提示三和 fil
护网 2018 easy_tornado
BlueDoorZz的博客
07-11 436
0x00 题目类型:SSTI注入。 0x01 索引界面下三个文件,flag.txt提示flag在/fllllllllllllag,hint.txt提示hash生成方式为md5(cookie_secret+md5(filename))。 注意到访问文件时为filename+filehash的形式,我们知道了flag的文件名,故只需要构造出flag的hash值,就可以拿到flag了。 http://41855a0a-ea58-4611-a5e2-03840a4b9da6.node3.buuoj.
web buuctf [护网 2018]easy_tornado1
weixin_44214568的博客
03-12 4532
分解信息量: 1.题目名称是easy-tornadotornado是python的web框架(web框架的产生是避免程序代码与html编码的编码混乱性,框架将传参过程进行独立) 2.打开一共三个链接,分别点开 /flag.txt 提示内容:flag in /fllllllllllllag ,意思就是flag在文件fllllllllllllag里面,需要考虑怎么进入文件里面 /welcome.txt 提示内容:render,render是tornado里面的渲染函数,就是对web网页界面进行编辑的函
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值