BUUCTF easy_tornado render模板注入

最新推荐文章于 2025-02-08 22:28:01 发布
原创 最新推荐文章于 2025-02-08 22:28:01 发布 · 1.1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#模板注入

本文详细介绍了一种利用模板注入技巧破解网站安全的方法。通过解析给定的计算公式和URL参数,结合flag.txt、welcome.txt和hint.txt文件的线索,文章展示了如何找到cookie_secret,计算正确的filehash,最终获取flag的过程。

 

 

模板注入详解请看这里:https://www.cnblogs.com/cimuhuashuimu/p/11544455.html

题目一开始给了三个文件的链接,分别查看:

 

flag.txt里告诉我们文件在/fllllllllllllag里,welcome.txt我们给我们一个关键词render,经过搜索之后知道有render函数的模板注入;最重要的是hint.txt,给我们了一个计算公式:md5(cookie_secret+md5(filename))

其实看到这个计算公式我才开始注意到url里的参数,因为计算出来是一个哈希值嘛,看参数里有一个filehash:

合理怀疑这个filehash就是通过这个公式算出来的,结合flag.txt中的提示,再次合理怀疑我们通过文件名(/fllllllllllllag)并按照这个公式计算出对应正确的filehash,并且按照这种格式访问url,就可以得到flag.(我可真是个小机灵鬼)

那么问题来了,文件名知道,md5函数可以调用,这个cookie_secret怎么得到呢?这时候注意到我们还有一个线索没有使用:render,模板注入!

先试着在flag.txt的url里直接把文件名修改成/fllllllllllllag,发现报错了:

看这个错误页面还有一个参数呢!把参数值随便修改一下,发现显示出来的内容也会随之变化:

但是输入指令却好像是被过滤了:

菜鸡不知所措……

后来才知道还有一个操作可以看到题目的环境变量:

接下来就用这个cookie_secret计算就可以了,脚本附上:

import hashlib

def md5encode(str):
    m = hashlib.md5()
    m.update(str)
    return m.hexdigest()


name = '/fllllllllllllag'
secret = '9fdfa0bb-bf87-4cc8-9126-e00e9123222a'
name = name.encode()
bb = md5encode((secret + md5encode(name)).encode())
print(bb)

跑出来的结果:

然后访问就可以得到flag啦~

 

 

[护网杯 2018]easy_tornado(SSTI服务器端模板注入)
weixin_45253573的博客
11-12 833
tornado Tornado是一种 Web 服务器软件的开源版本。Tornado 和主流Web 服务器框架(包括大多数 Python 的框架)有着明显的区别:它是非阻塞式服务器,而且速度相当快。 可以考虑服务器端模板注入 参考SSTI完全学习 SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行,SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架,比如Python的jinja2 mako tornado django,php的smarty
tornado模板注入
羽的博客
03-18 2797
tornado模板注入漏洞
攻防世界easytornado-tornado模板注入
yuanxu8877的博客
11-28 520
攻防世界easytornado-tornado模板注入
攻防世界 web进阶 easytornado模板注入
Hrain7的博客
11-24 868
分别点开三个文件 /flag.txt 由此可知,flag在 /fllllllllllllag 里面 /welcome.txt 发现render函数,百度一下,render是一个渲染函数,渲染变量到模板中,模板嘿嘿嘿,猜想可能存在模板注入吧,我所知道就这些请见谅。。。。 render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页 render配合Tornado使用。 /hints.txt md5(cookie_secret+md5(...
模板注入tornado_render)之[护网杯 2018]easy_tornado1
qq_58970968的博客
04-10 418
根据提供的三个文件可以知道,flag在fllllllllag目录下;根据题目tornado 还有提示render知道,这大概念是考模板注入{{}} ;然后观看URL发现,可以猜测: 这道题需要构造/file?filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(filename)) 当然在此之前用{{}}来注入会发现每次都会跳到error?msg 在这里构造{{1}}就会返回一个值;大可判定就是模板注入;关于rende...
[BUUCTF] easy_tornado (writeup)
weixin_63306244的博客
06-10 377
tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。根据 flag.txt 和 hints.txt 的提示我们得出flag在/fllllllllllllag里面。回显了orz,回想welcome.txt 有提示render。有了cookie_secret后根据hints.txt。进入靶机后发现了三个文件,分别是。由此得到payload为。
2025.2.8——一、[护网杯 2018]easy_tornado tornado模板注入
2402_87387800的博客
02-08 1115
题目来源:BUUCTF [护网杯 2018]easy_tornado
BUUCTF__[护网杯 2018]easy_tornado_题解
风过江南乱的博客
05-08 953
1
tornado模版注入 [护网杯 2018]easy_tornado 1
m0_75178803的博客
11-30 1290
模版注入就是存在于web应用中的注入漏洞,例如:如果使用此模板显示用户的输入,那么它是完全安全的,因为我们所做的只是从数据库中获取当前用户的信息,然后将其返回给用户,但下面这个例子就不太一样了:如果用户的输入的成为模板的一部分,就构成了ssti漏洞,因为模板有能力执行任意代码,所以用户可以在服务器上获得一个shell。攻击者可以在其中注入恶意模板代码来获得shell,但需要注意的一点是,该漏洞不仅限于服务器,只要模板可用,漏洞就可以存在于任何地方。
CTFbuuctf web(二)——[护网杯 2018]easy_tornado
m0_52923241的博客
08-01 1041
[护网杯 2018]easy_tornado 首先出来三个链接 查看flag.txt 提示flag在/fllllllllllllag中 OK,知道了第一个条件,filename=/fllllllllllllag 查看welcome.txt 查看hints.txt 分析一下 这里有两个参数,第一个参数filename,文件的名称,我们通过查看flag.txt文件知道,藏flag的文件名为fllllllllllllag;第二个参数filehash,翻译一下:文件哈希,也就是加密了 加密方法在第三个文件中md
python的web框架的tornado和flask模块注入
qq_53099802的博客
05-19 652
tornadorender模块注入和flask注入
tornado模板
Rick的博客
11-18 862
tornado模板模板 模板使用,特别之处就是在Application多了个指定模板路径的参数,告诉Tornado在哪里寻找模板文件 app = tornado.web.Application( handlers=[(r'/', IndexHandler), (r'/poem', PoemPageHandler)], template_path=os.path
攻防世界--Web进阶--easytornado---模板注入
z2560088的博客
10-11 375
目录 信息搜集 模板注入 生成filehash 信息搜集 发现flag的位置,于是我们试试能不能访问 报错了 查看/welcome.txt 由于render({options})可以猜测有模板注入漏洞。 /hints.txt提醒md5(cookie_secret+md5(filename)) 这个应该是file的hash算法了 filename应该是/fllllllllllllag cookie_secret不清楚 模板注入...
buu web:[护网杯 2018]easy_tornadotornado render模板注入漏洞)
m0_55378150的博客
04-18 295
打开靶场 分别看一下有什么 应该都是一些小提示,可以看到url上的filename参数有点可疑,我们将第一个提示中的/fllllllllllllag放进去看看 报了个错 然后我们可以看到页面的Error也出现在了url上,我们换成其他东西试试 很可疑,可能存在模板注入,测试一下:{{2*2}} 这里我就看不懂了,百度了一手,才知道这是一个tornado render模板注入漏洞(我不懂原理,大家可以去看看大佬的题解),可以通过{{handler.settings}}拿...
tornado模板源码小析
Skycrab
12-21 4749
最近对flask的热情有点下降,对tornado有点高涨。 之前在知乎上回答过一个问题,如何理解 Tornado ?,我的回答如下:1.高性能的网络库,这可以和gevent,twisted,libevent等做对。提供了异步io支持,超时事件处理,在此基础上提供了tcpserver,httpclient,尤其是curlhttpclient,在现有http客户端中肯定排第一。可以用来做爬虫,游戏服务
Tornado模板系统实现方式
Unknown
07-04 2643
最近闲来无事突然对tornado模板系统的实现方法很感兴趣,于是花了一些时间仔细的研究了tornado模板系统的实现方法。第一次阅读开源软件的代码,感受:舒心。Tornado的源代码写得很是规范和清晰,钦佩不已。 这篇文章是对Tornado模板系统源码学习的一个总结,主要包含以下几个内容: Tornado模板系统简单使用方法Tornado模板系统渲染原理Tornado模板系统代码实现
SSTI注入漏洞和Web_python_template_injection和Easy_tornado
fcz___的博客
03-08 257
tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量。os模块是Python中整理文件和目录最为常用的模块,该模块提供了非常丰富的方法用来处理文件和目录。
CTF笔记 SSTI模板注入
qq_51248658的博客
10-21 1159
这次只是简单的把以前写的题目进行了总结,大致明白了解题步骤,但还是得多积累一些payload,以及绕waf的方法。这个可以去找sstilab通关相关内容进行学习,感觉那上面挺全的。
easy_tornado
最新发布
03-08
例如,在某些 CTF(夺旗竞赛)挑战赛里可能会遇到有关 Tornado 模板注入的问题。为了防止此类攻击发生,务必仔细验证用户输入的数据,并采用合适的编码措施以确保不会被恶意利用[^4]. #### 实际案例分析 在一个具体...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值