buu web：[护网杯 2018]easy_tornado（tornado render模板注入漏洞）

m0_55378150

已于 2022-04-18 16:24:45 修改

阅读量233

点赞数

分类专栏： buuctf 文章标签： web安全

于 2022-04-18 15:28:49 首次发布

本文链接：https://blog.csdn.net/m0_55378150/article/details/124248739

版权

buuctf 专栏收录该内容

20 篇文章 0 订阅

订阅专栏

打开靶场

分别看一下有什么

应该都是一些小提示，可以看到url上的filename参数有点可疑，我们将第一个提示中的/fllllllllllllag放进去看看

报了个错

然后我们可以看到页面的Error也出现在了url上，我们换成其他东西试试

很可疑，可能存在模板注入，测试一下：{{2*2}}

这里我就看不懂了，百度了一手，才知道这是一个tornado render模板注入漏洞（我不懂原理，大家可以去看看大佬的题解），可以通过{{handler.settings}}拿到cookie_secret的值

然后根据hints.txt的提示进行加密，不会写脚本，直接借用别人的了

import hashlib

filename = "/fllllllllllllag"

cookie_secret = '2c0d83a5-3a40-4436-a2d7-0337676163d1'

def md5(s):
    md5 = hashlib.md5()
    md5.update(s.encode(encoding='utf-8'))
    return md5.hexdigest()

print(md5(cookie_secret+md5(filename)))

最后将/fllllllllllllag放到filename，将加密好的字符串放到filehash就可以了

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

m0_55378150

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

[安洵杯 2019]easy_web

qq_43622442的博客

05-09

6347

[安洵杯 2019]easy_web 1.打开网站，啥都么得，源码里面说 md5 is funny，扫目录也没扫到啥。看url有个cmd= 2.一开始是直接头铁bypass的，但是搞不出来： 3.url中看到img参数，图片应该是通过参数的方式传递的，文件包含？但是这串密文我解不出来- -。看了WP，是这样的加密： import binascii import base64 filename = input().encode(encoding='utf-8') hex = binascii.b2a_he

buu做题笔记——[安洵杯 2019]easy_web

weixin_46330722的博客

11-30

1347

BUU[安洵杯 2019]easy_web [安洵杯 2019]easy_web 进入题目就是这样一个页面，先看下源码这里有一个提示，这题应该跟md5有关，这时我注意到了URL http://60c3d800-d438-4c23-87c2-dbee32a9e363.node3.buuoj.cn/index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd= 这个img参数后面应该是个编码后的文件名，然后源码里就会出现base64编码的文件内容将img参数的值解码

参与评论您还未登录，请先登录后发表或查看评论

模板注入（tornado_render）之[护网杯 2018]easy_tornado1

qq_58970968的博客

04-10

353

根据提供的三个文件可以知道，flag在fllllllllag目录下；根据题目tornado 还有提示render知道，这大概念是考模板注入{{}} ；然后观看URL发现，可以猜测：这道题需要构造/file?filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(filename)) 当然在此之前用{{}}来注入会发现每次都会跳到error？msg 在这里构造{{1}}就会返回一个值；大可判定就是模板注入；关于rende...

Tornado及Bottle 漏洞合集

小小猪的博客

08-20

1153

Tornado 漏洞 Tornado 文件读取漏洞搭建好环境之后，这时候我们就可以直接请求到/static/01.txt这样的静态文件了：正常情况下，我们是不能够请求到这个目录以外的文件的，如/etc/passwd：如上图，tornado对请求的路径进行了一定判断，抛出了这个错误。然后我们去他源码中看看是怎么判断的： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 .

tornado框架漏洞攻防世界（easytornado）

一醉一休的博客

02-23

2209

#Tornado全称Tornado Web Server，是一个用Python语言写成的Web服务器兼Web应用框架 #tornado render是python中的一个渲染函数，也就是一种模板，通过调用的参数不同，生成不同的网页，如果用户对render内容可控，不仅可以注入XSS代码，而且还可以通过{{}}进行传递变量和执行简单的表达式。一、easytornado 1）点开链接 2）逐个点开（render函数是渲染函数） 3）要找出filehash值，...

easy_tornado复现

AsagiRiAsagi的博客

01-03

815

Easy_tornado分析问题与解答 cookie_secret是什么？答：根据Tornado官方文档的解释：这是settings中关于认证和安全方面的一个配置参数。 settings又是什么？答：是一个python字典。通常用作于application的配置项。 application是什么？答：这个问题会比较难直接回答。这需要先理解一个tornado web应用是如何工作的。我们先看Tornado官方给的一个Hello World程序的例子： import tornado.iol

攻防世界--Web进阶--easytornado---模板注入

z2560088的博客

10-11

262

目录信息搜集模板注入生成filehash 信息搜集发现flag的位置，于是我们试试能不能访问报错了查看/welcome.txt 由于render({options})可以猜测有模板注入漏洞。 /hints.txt提醒md5(cookie_secret+md5(filename)) 这个应该是file的hash算法了 filename应该是/fllllllllllllag cookie_secret不清楚模板注入...

SSTI注入漏洞和Web_python_template_injection和Easy_tornado

fcz___的博客

03-08

165

在tornado模板中，存在一些可以访问的快速对象,这里用到的是handler.settings，handler指向RequestHandler，而RequestHandler.settings又指向self.application.settings，所以handler.settings就指向RequestHandler.application.settings了，这里面就是我们的一些环境变量。os模块是Python中整理文件和目录最为常用的模块，该模块提供了非常丰富的方法用来处理文件和目录。

BUUCTF-easy_tornado

wuerror的博客

07-07

3655

这题是2018护网杯原题的复现。进去之后显示三个txt，每个点进去看看。内容如下： /flag.txt flag in /fllllllllllllag /welcome.txt render /hints.txt md5(cookie_secret+md5(filename)) 看看url，发现web9.buuoj.cn/file?filename=/flag.txt&fil...

joinUs-buu2018:h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信qq分享

05-02

joinUs-buu2018 h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信/qq分享 #预览地址

[MRCTF2020]Easy_RSA

weixin_44110537的博客

07-20

1418

encrypt import sympy from gmpy2 import gcd, invert from random import randint from Crypto.Util.number import getPrime, isPrime, getRandomNBitInteger, bytes_to_long, long_to_bytes import base64 from zlib import * flag = b"MRCTF{XXXX}" base = 65537 def gen

BUUCTF easy_tornado render模板注入

hhh

10-09

1008

模板注入详解请看这里：https://www.cnblogs.com/cimuhuashuimu/p/11544455.html 题目一开始给了三个文件的链接，分别查看： flag.txt里告诉我们文件在/fllllllllllllag里，welcome.txt我们给我们一个关键词render，经过搜索之后知道有render函数的模板注入；最重要的是hint.tx...

漏洞复现-easy_tornado

qq_59350385的博客

07-04

292

windowsFirefoxtornado是python中的一个web应用框架。拿到题目发现有三个文件：flag.txt 发现flag在/fllllllllllllag文件里；welcome.txt render是python中的一个渲染函数，渲染变量到模板中，即可以通过传递不同的参数形成不同的页面。hints.txt filehash=md5(cookie_secret+md5(filename)) 现在filename=/fllllllllllllag，只需要知道cookie_secret的

renderreverse&&renderreverse php,WordPress <= 4.6 命令执行漏洞(PHPMailer)复现分析

weixin_39832628的博客

03-24

485

漏洞信息WordPress 是一种使用 PHP 语言开发的博客平台，用户可以在支持 PHP 和 MySQL 数据库的服务器上架设属于自己的网站。也可以把 WordPress 当作一个内容管理系统(CMS)来使用。WordPress 使用 PHPMailer 组件向用户发送邮件。PHPMailer(版本 < 5.2.18)存在远程命令执行漏洞，攻击者只需巧妙地构造出一个恶意邮箱地址，即可写入任...

tornado 坑集合

weixin_30920597的博客

04-10

327

1.没有自己的session管理 2.path入参要用括号圈起来，才能获取到 3.接收post参数 data = json.loads(self.request.body)ddd = data["ddd"]也可以self.get_body_argument("ddd") 转载于:https://www.cnblogs.com/zipon/p/10683362.html...

ThinkPHP V5（漏洞解析及利用）及tornado知识点

qq_62046696的博客

10-03

3578

ThinkPHP官方2018年12月9日发布重要的安全更新，修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新，由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞，受影响的版本包括5.0和5.1版本，推荐尽快更新到最新版本。

代码审计之CVE-2018-7600-Drupal远程代码执行漏洞-Render API

weixin_30341735的博客

03-15

494

　　今天学习一下Drupal的另一个漏洞，由于渲染数组不当造成的漏洞　　poc： url:http://localhost/drupal-8.5.0/user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax post： 'mail[a][#...

sql注入漏洞的三种类型及演示

Imageel的博客

03-24

6018

1.数字型注入首先还是根据之前的操作先后打开phpstudy，firefox以及burpsuite 在pikachu中选中sql-inject中的数字型注入，然后点击一下1或任意userid，让burpsuite抓到这部操作的数据包将抓到的数据包传到repeater。在传入的id处加入数字型注入的关键 id=1 or 1=1.此操作将其默认判断为真在render处即可发现所有的user...

BUUCT-WEB-easy_tornado

迷风小白

07-02

7584

easy_tornado tornado是python中的一个web应用框架。拿到题目发现有三个文件 flag.txt /flag.txt flag in /fllllllllllllag 发现flag在/fllllllllllllag文件里 welcome.txt /welcome.txt render render是python中的一个渲染函数，渲染变量到模板中，即可以通过传递不同的参数形...

buu ctf web进阶]ssti