攻防世界-web easytornado

已于 2022-02-11 16:34:55 修改
阅读量707 收藏
点赞数
分类专栏: CTF 文章标签: 前端 安全 web安全
于 2022-02-11 16:32:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48108919/article/details/122881369
版权

题目描述:Tornado 框架

显示有3 个文件

1.访问flag.txt文件提示flag在fllllllllllllag文件中

2.访问welcome.txt文件,提示render

render是一个Tomado框架的一个渲染函数,即可以通过传递不同的参数形成不同的页面,可能存在模板注入漏洞

3.访问hints.txt文件,看到有个md5加密方法,再看请求的url发现每个url都带有filehash,应该就是filehash的加密公式

根据url特征需要提供filename及filehash才能成功访问文件,我们现在已经知道了flag文件,再获得flag文件的对应的filehash即可访问flag文件

抓包寻找cookie并没有,尝试对已知的filehash进行md5解密反推cookie_secret无果,只能从框架入手了

参考别人的wp:https://blog.csdn.net/Onlyone_1314/article/details/121875087

cookie_secret在tornado框架中的tornado.web.RequestHandler和tornado.web.Application类中有使用到

这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了

获取cookie_secret payload:

http://111.200.241.244:64648/error?msg={{handler.settings}}

 cookie_secret:3116a786-05e4-4708-b203-ee2f3c32bad7

 制作/fllllllllllllag的filehash

md5(fllllllllllllag):3bf9f6cf685a6dd8defadabfb41a03a1

md5(cookie_secret+md5(fllllllllllllag)):53dcf2c0f5c3e8e22cf8637bbe132f6f

最终payload:

http://111.200.241.244:64648/file?filename=/fllllllllllllag&filehash=53dcf2c0f5c3e8e22cf8637bbe132f6f

 

flag{3f39aea39db345769397ae895edb9c70} 

码啊码
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【网络安全 | CTF】攻防世界护网杯 2018 easy_tornado
等风来
07-23 3680
tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。或一个目录是“/Users/python/tornado-file-read/static_private/”,传入某文件的路径为“/Users/python/tornado-file-read/static/”将得到的cookie_secret同加密的内容一同进行加密。
攻防世界-easytornado
m0_49025459的博客
12-22 1199
简单来说,就是网站内容的动态部分,如果有一个网站的内容几乎相同,但只有某些部分发生改变,那么他们很有可能使用了模板模板看起来如下:hello{user.name} 他们有一个静态罐和一个动态罐,hello为静态罐,{}里的内容为动态罐这就是为什么编译器如何是知道该部分是动态的,另外需要注意的是,并非是所有模板看起来都是像上面那样,列如:hello{{user.name}}这是一个名为jinja。
XCTF攻防世界web进阶easytornado
qq_60787987的博客
04-02 3635
打开题目我们可以看到如下界面: 点开flag.txt看到 /flag.txt flag in /fllllllllllllag 提示我们flag所在的文件。 点开welcome.txt看到render,这里就涉及到本题目的核心知识,模板注入。这个等下再讲。 接下来,点开hints就看到 /hints.txt md5(cookie_secret+md5(filename)) 涉及到知识有 render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页 ren
攻防世界----easytornado笔记
qq_44418229的博客
07-05 494
攻防世界----easytornado学习笔记
攻防世界】十六 --- easytornado --- python Tornado框架
qq_43168364的博客
12-28 365
题目 — easytornado 一、writeup 主页有三个文件 分别访问以下可以看到他们的URL格式如下图所示 都是文件名带一个filehash的格式,那就可以猜测访问flag文件的url格式应该就是:/file?filename=/flag的文件名&filehash=xxx。接下来依次看这几个文件的内容。/flag.txt文件 提示flag在:/fllllllllllllag中,我们的URL格式又进一步确定了:/file?filename=/fllllllllllllag&fi
攻防世界easytornado-tornado模板注入
yuanxu8877的博客
11-28 369
攻防世界easytornado-tornado模板注入
攻防世界Webeasytornado
Light_inthe_eyes的博客
10-16 252
进入页面后,发现有三个可点击的链接: 点进去看看,分析flag是在fllllllllllllag中的,render是一个渲染函数(可以猜测这里存在模板注入),md5(cookie_secret+md5(filename))的值应该是我们最终需要得到的,并且发现点击每一个链接后,url里都有filehash参数,也就是说我们需要拿到cookie_secret的值,来计算出fllllllllllllag的filehash值: /flag.txt: flag in /fllllllllllllag /welc
攻防世界web
qq_63458510的博客
02-12 301
1、 按Ctrl+U找出flag 2、 神马是robots协议? f1ag_1s_h3re.php 找到一个带flag的 ,就把它加入到链接后面 就找到flag了 3、 用记事笔记本打开 就找出来flag了 4、 因为这是关于cookie的,所以就在链接后加上cookie.php 得到无响应,看不到结果 打开开发者工具模式,找到网络这一项里面的消息头 就可以找到flag 5、 用64位编码解密即可用64位编码解密即可 ...
攻防世界Training-Stegano-1
10-31
【标题】"攻防世界Training-Stegano-1" 是一个关于信息安全领域的训练题目,主要涉及的是隐写术(Steganography)技术。隐写术是一种隐藏信息的技术,通常用于在图像、音频或文本中嵌入秘密数据,使得非授权者无法...
攻防世界nice-bgm杂项
11-20
在网络安全领域,"攻防世界"是一个广受欢迎的在线平台,提供各种安全挑战,帮助学习者提升他们的黑客防御和攻击技能。"nice-bgm杂项"是其中的一个挑战,属于"misc"类别,这意味着它可能涉及到多种不同类型的解题技巧...
攻防世界1-misc杂项
11-20
攻防世界1-misc杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947726
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界-web-easytornado
wuh2333的博客
07-19 1500
攻防世界,模板注入
XCTF-攻防世界CTF平台-Web类——15、easytornado(SSTI服务器模板注入、Tornado 框架render渲染函数、MD5加密)
Onlyone_1314的博客
12-11 2713
目录标题找到注入点查看tornado的官方文档得到cookie_secret的值计算md5值得到flag 打开题目地址: 题目描述使用了Tornado 框架,Tornado是Python的一种 Web 服务器软件框架。 有三个文件,分别查看: 提示flag所在的文件/fllllllllllllag,url中GET方式提交了2个参数:filename=/flag.txt&filehash=6d9ebcb83324409e048e0d8086173713 提示使用了render函数,由于rend
攻防世界--fileclude && fileinclude && inget && easytornado
08-25 2198
file2中包含数据file_get_contents。直接访问flag.php只显示WRONG WAY!说明flag应该在flag.php的注释里。file2使用php伪协议传数据。两个参数file1和file2。
攻防世界easytornado
最新发布
wangzhemvp的博客
04-05 280
可以把它理解为 tornado 模板中内置的环境配置信息名称,通过handler.settings 可以访问到环境配置的一些信息。看到 tornado 模板基本上就用 handler.settings。{{ }}有回显,一般存在模版注入。得到cookie_secret。模版注入 + tornado模板。
Tornado
weixin_33976072的博客
11-04 162
2019独角兽企业重金招聘Python工程师标准>>> ...
攻防世界easytornado 附带脚本
my_name_is_sy的博客
05-23 193
easytornado 打开后显示在flag中,我们可以看到提示 /flag.txt flag in /fllllllllllllag 然后,按照提示进入页面 那么,此处暂且搁置。打开“welcome.txt”页面。 得到提示 /welcome.txt render render 然后我们再打开提示页面“hints.txt” ...
攻防世界-baby_web详解
12-21
根据提供的引用内容,攻防世界-baby_web是一个需要进行攻击和防御的网络应用。根据引用和引用[2]的描述,可以看出该应用存在注入漏洞,并且使用了一些安全措施来防止攻击者利用这些漏洞。攻击者可以通过注入恶意代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码啊码

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值