BUUCTF[护网杯 2018]easy_tornado1-write up

最新推荐文章于 2024-06-18 14:37:36 发布
最新推荐文章于 2024-06-18 14:37:36 发布
阅读量946 收藏 6
点赞数 2
分类专栏: web 文章标签: web 经验分享 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62851980/article/details/124353695
版权

知识点:
SSTI(模板注入),render函数,Tornado框架(知识点在最后)

打开靶机,看到三个链接:

分别点进去:

注意每个链接的url:
/file?filename=/xxx&filehash=32位MD5

根据flag.txt和hint.txt提示url的形式为:文件名+32位MD5

再看hint.txt的提示:md5(cookie_secret+md5(filename))。明显我们要先找到cookie_secret进行MD5加密,再和进行MD5加密后输入的文件名进行连接,再次加密。

可知想得到flag也就是需要构造:

/file?filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(/fllllllllllllag))

那么如何得到cookie_secret? 

先尝试输入一个相同格式的/fllllllllllllag:

/file?filename= /fllllllllllllag&filehash=fc5e038d38a57032085441e7fe7010b0(这里随便构造了一个MD5进行测试,不是正确答案)

查看有没有信息:

输入后就会跳转到/error?msg=Error 

提示有签名错误,发现/error?msg=签名错误。根据提示网页提示:render(渲染)函数,联想到ssti注入(模板注入)

SSTI注入:服务端模板注入

当前使用的一些框架,比如python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。

 简单来说就是,用户输入的东西在进行分析后被传出来视图层进行模板渲染(render),让用户看到结果。模板是不同的,因此会有不同的传输结果。

php常见的模板:twig,smarty,blade。而render函数就存在于模板twig中:

比如:
 

<?php
  require_once dirname(__FILE__).'\twig\lib\Twig\Autoloader.php';
  Twig_Autoloader::register(true);
  $twig = new Twig_Environment(new Twig_Loader_String());
  $output = $twig->render("Hello {{name}}", array("name" => $_GET["name"]));  // 将用户输入作为模版变量的值
  echo $output;
?>

Twig使用一个加载器 loader(Twig_Loader_Array) 来定位模板,以及一个环境变量 environment(Twig_Environment) 来存储配置信息。其中,render() 方法通过其第一个参数载入模板,并通过第二个参数中的变量来渲染模板。使用 Twig 模版引擎渲染页面,其中模版含有 {{name}}  变量,其模版变量值来自于GET请求参数$_GET["name"] ,

而用户可以控制输入的变量,像这样:

render("Hello {$_GET['name']}")

 用户输入1则输出“Hello 1”

 如果服务端将用户的输入作为了模板的一部分,那么在页面渲染时也必定会将用户输入的内容进行模版编译和解析最后输出。

除此之外,在Twig模板引擎里,,{{var}} 除了可以输出传递的变量以外,还能执行一些基本的表达式然后将其结果作为该模板变量的值。这里用户输入name={{6+10}},则输出“Hello 16” 

基于此,我们尝试输入:/error?msg={{1}},输出1,可以确定是模板注入。

至于要寻找cookie_secret,要先知道tornado框架:

Tornado全称Tornado Web Server,是一个用Python语言写成的Web服务器兼Web应用框架 

 tornado官方文档详情Templates and UI — Tornado 6.2.dev1 documentation (tornadoweb.org)

 在搜索框输入cookie_secret:

 出来好几个有关内容点进"get",利用ctrl+f搜索cookie_secret,跟settings有关:

 

 输入以上两个命令却找不到cookie_secert,已知Tornado提供了一些对象别名来快速访问对象。Handler指向的处理当前这个页面的RequestHandler对象,handler是RequestHandler的别名,而上面又提到RequestHandler.settings是self.application.settings的别名。所以handler.settings就等于RequestHandler.application.settings。这个self是oneself的意思,哪个对象用就是哪个对象的.application.settings。
所以用handler.settings访问RequestHandler.application.settings:
即输入:/error?msg={{handler.settings}}

 得到cookie_secert后就简单了,像前文所言,将cookie_secert和/fllllllllllllag分别MD5加密后拼接再次加密输入得到flag构造payload:
file?filename=/fllllllllllllag&filehash=正确MD5值

MD5在线加密 (hwcha.com)

今天不用学物理吧
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2018护网easy_tornado(BUUCTF提供复现)
Sea_Sand息禅
09-26 4861
进入页面: 然后依次看一下: 1)/flag.txt 网页内容: /flag.txt flag in /fllllllllllllag url: file?filename=/flag.txt&filehash=9f1a5c8c40be3aafbc5e719d151b1d36 这个页面告诉我们,flag在/fllllllllllllag文件中 2)/welcome.txt 网页内容: ...
[护网 2018]easy_tornado 1
weixin_45674567的博客
06-01 2896
点击/flag.txt,说明flag在 /fllllllllllllag 里。 点击/welcome.txt,render()函数是渲染函数,进行服务器端渲染。 点击/hints.txt,出现: reader()函数联想到模板注入:±*/等符号,都被过滤,^没被过滤,成功回显 根据: 搜素百度得Tornado框架的附属文件handler.settings中存在cookie_secret 尝试:error?msg={{handler.settings}} 得到 结合之前访问/flag.txt、/we..
buuojweb刷题wp详解及知识整理—-【护网easy_tornado(模板注入+md5)
01-20
写在前面 服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 点击一下/welcome.txt 回显 render 而且url处有异常 同理测试其他选项 通过猜测可知filehash的值就是/hint.txt中的算法得到的 从而 我们只要得到cookie_secret的值即可通过脚本的到于/fllllllllllllag对应的filename的值 模板注入拿到cookie_secret get传参 ?filename=/fllllllllllllag&filehash= 回显 发现可疑参数msg
web buuctf [护网 2018]easy_tornado1
weixin_44214568的博客
03-12 4493
分解信息量: 1.题目名称是easy-tornadotornado是python的web框架(web框架的产生是避免程序代码与html编码的编码混乱性,框架将传参过程进行独立) 2.打开一共三个链接,分别点开 /flag.txt 提示内容:flag in /fllllllllllllag ,意思就是flag在文件fllllllllllllag里面,需要考虑怎么进入文件里面 /welcome.txt 提示内容:render,render是tornado里面的渲染函数,就是对web网页界面进行编辑的函
BUUCTF [护网 2018] easy_tornado1
最新发布
m0_74167420的博客
06-18 315
Handler指向的处理当前这个页面的RequestHandler对象,handler是RequestHandler的别名,而上面又提到RequestHandler.settings是self.application.settings的别名。2、render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,即可进行SSTI模板注入或者XSS注入。(4)访问出错后出现如下界面,输入{{1}},测试得出存在SSTI模板注入漏洞。
[护网 2018]easy_tornado 1(两种解法!)
m0_73734159的博客
11-12 2276
tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量。猜测解题关键点在md5(cookie_secret+md5(filename))这里。改哈希值看看是否有变化。
[护网 2018]easy_tornado1 write up
Teemos的博客
05-31 427
[护网 2018]easy_tornado1 write up 本题所需知识点:SSTI、文件包含 1 题解 点开题目,发现有3个链接 分别点开三个链接 file?filename=/flag.txt&filehash=5cb650c67b3f3eb1c3382db985cba60d file?/filename=/welcome.txt&filehash=453823f83be22fbffa0f5ba9f7e7e8ba file?filename=/hints.txt&fi
[护网 2018]easy_tornado1
陈艺秋的博客
07-24 391
普通的cookie并不安全,可以通过客户端修改在Tornado框架中,cookie_secret是一个密钥,一般使用随机生成的字符串,被用于对生成的cookie进行加密。它的作用是确保cookie的安全性,防止被修改或伪造。具体来说,当Tornado应用程序使用set_secure_cookie()函数设置cookie时,会使用cookie_secret对cookie进行加密。而在获取cookie时,Tornado则会使用同样的密钥进行解密,并验证cookie是否被篡改。
2018护网逆向题目
10-16
2018护网逆向题目是针对这一领域的专业挑战,旨在检验参赛者在逆向工程方面的技能和知识。这三道题目——task_Loader7.exe、task_APM233_6.exe和task_huwang-refinal-6.exe,很可能是精心设计的恶意软件或复杂程序...
网鼎writeup-护网先锋1
08-04
【网鼎writeup-护网先锋1】的知识点总结: 在网络安全竞赛“网鼎”中,参赛者需要解决一系列挑战,这些挑战涉及到多种安全技术,如代码泄露、漏洞利用、加壳破解、文件格式分析等。以下是各部分的具体知识点: ...
2020全国工业互联网安全技术技能大赛-护网原题及附件-chinaiisc2020
01-11
2020全国工业互联网安全技术技能大赛,原来的护网,比赛的原题以及附件,供大家进行学习和交流。祝大家技术进步!
[护网 2018]easy_tornado 1(STTI模板注入+Tornado的secret_cookie)
Home to come
08-19 1436
本文为个人刷题记录,不记录完整步骤,主要记录比较有感触的知识点 SSTI注入 参考:SSTI完全学习 SSTI就是服务器端模板注入(Server-Side Template Injection),也给出了一个注入的概念。 常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。 sql注入是从用户获得一个输入,然后又后端脚本语言
[护网 2018]easy_tornado1_wp
m0_67878917的博客
07-12 200
可以发现cookie_secret参数是在tornado.web.Application的settings这个字典中的,一般可以通过tornado.web.Application.settings访问该参数所在字典,而tornado中可使用别名handler将前缀替换,故参数为handler.settings,在tornado中传参方式为 {{参数}} ,故构造{{handler.settings}}这里提示需要找到cookie_ssecret这个值将它与用MD5加密后的文件名连接后再进用MD5加密。
[护网 2018]easy_tornado
Yb_140的博客
09-05 1609
即md5('61375ac6-5e1d-4510-a256-12786c3e1f09'+md5('/fllllllllllllag'))得到提示信息,得到cookie_secret:61375ac6-5e1d-4510-a256-12786c3e1f09。猜测这里的filehash就是md5加密得到的,我们需要找到cookie_secret。然后结合md5(cookie_secret+md5(filename)),简单来说就是用来生成模板的东西。,就是一个公式,能输出前端页面的公式。
BUUCTFWeb:[护网 2018]easy_tornado1
Pai_Space
04-27 343
打开后是三个链接 第一个,flag 在/fllllllllllllag 中 render 渲染 测试发现渲染模板注入 第三个提示看着像 URL 跟着的 filehash 内容 /file?filename=/hints.txt&filehash=f0c7d9aa6db81d1ffd09e042949594dc 结合前面我们需要得到文件 /fllllllllllllag,缺少后面对应的 filehash filename /flllllll...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值