easy_tornado

最新推荐文章于 2024-04-07 18:42:38 发布
最新推荐文章于 2024-04-07 18:42:38 发布
阅读量276 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nole_/article/details/112983837
版权
本文讲述了通过分析Tornado框架中的STTI模板注入问题,如何利用该漏洞找到关键信息并解决挑战的过程,包括理解robots.txt、寻找注入点、构造payload以及解密获取flag。
摘要由CSDN通过智能技术生成

进入网址,看到以下内容

在这里插入图片描述
首先,习惯性的访问一下 robots.txt,看一下有没有什么好东西

在这里插入图片描述
看来不存在
返回,f12,发现body中的三行文字,并且分别指向三个地址 ,依次打开
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

首先,很容易的观察到,我们请求的网址都是由filename以及 filehash组成的

再从提示中,我们能够得到filename,以及猜测hints.txt中的公式就是filehash的计算方法,

但cookie_secret到底是个什么东西,别急,此时我们welcome.txt中的提示还没有使用,

后面百度搜索,看了下大佬们 wp,发现存在一种叫STTI模板注入,

原文地址:https://blog.csdn.net/qq_43678005/article/details/108108520

而render是python中web框架tornado里面一个方法,用来找到模板文件,渲染文件,从而显示页面(python+web框架之tornado的简介,感兴趣的朋友可以自己去了解下)

在了解STTI模板注入后,(作为学习者,一定要先了解相应的知识后再尝试着自己复现漏洞,这才是掌握技能的关键,更是一种良好的学习习惯),我们开始尝试注入

我们先找到注入点

在这里插入图片描述

尝试下注入

在这里插入图片描述
在这里插入图片描述

简单的尝试了一些后,猜测可能对表达式进行了过滤,

在根据,Tornado框架的附属文件handler.settings中存在 cookie_secret,

于是构造playload

msg={{hander.setting}}
# 完整网址为:http://33d2f68b-dab4-4588-9387-e8f6bc63abd6.node3.buuoj.cn/error?msg={{handler.settings}}

回车后,得到信息
在这里插入图片描述

得到了关键信息后,再对信息进行提示所给的公式进行加密

此处我使用了 python3.6进行公式加密

import hashlib
filename = '/fllllllllllllag'
""" 
	此处有个小插曲,hints.txt中的提示为md5(filename),
	所以第一次是使用的 fllllllllllllag (及没带入路径) 作为md5的加密对象,
	后面失败了几次,把路径加上才成功
"""
cookie_secret = '4a9b71f4-b003-41e0-a161-0030c57f1af6' 

md_5 = hashlib.md5()	# 创建md5对象
md_5.update(filename.encode('utf-8'))
md5_filename = md_5.hexdigest()     # 得到filename的md5加密结果
print(hashlib.md5((cookie_secret+md5_filename).encode('utf-8')).hexdigest()) # 得到最后结果

最后将md5加密结果以及文件地址带入url,?filename=/fllllllllllllag&filehash=10ee2b779502b8df63ee41b5623d8d75
在这里插入图片描述

得到flag为

flag{81bf23ec-253f-42da-b142-79ff26cd9e5c}
我才是真小白
关注
专栏目录
【网络安全 | CTF】攻防世界护网杯 2018 easy_tornado
等风来
07-23 3733
tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。或一个目录是“/Users/python/tornado-file-read/static_private/”,传入某文件的路径为“/Users/python/tornado-file-read/static/”将得到的cookie_secret同加密的内容一同进行加密。
【网络安全 | CTF】护网杯2018easy_tornado解题详析(Tornado之SSTI注入)
等风来
08-24 3952
提示:filename先被md5加密后,结合cookie_secret,再次被md5加密姿势进入页面给出三个链接:提示:filename先被md5加密后,结合cookie_secret,再次被md5加密先加密filename:得到:3bf9f6cf685a6dd8defadabfb41先加密filename:可知存在模板注入,而Tornado框架的附属文件handler.settings中存在cookie_secret故get传参:/error?msg={{handler.settings}}得到
BUUCTF-easy_tornado
wuerror的博客
07-07 3656
这题是2018护网杯原题的复现。 进去之后显示三个txt,每个点进去看看。内容如下: /flag.txt flag in /fllllllllllllag /welcome.txt render /hints.txt md5(cookie_secret+md5(filename)) 看看url,发现web9.buuoj.cn/file?filename=/flag.txt&fil...
easytornado
……
08-05 164
攻防世界web
easy_tornado复现
AsagiRiAsagi的博客
01-03 816
Easy_tornado分析 问题与解答 cookie_secret是什么? 答:根据Tornado官方文档的解释:这是settings中关于认证和安全方面的一个配置参数。 settings又是什么? 答:是一个python字典。通常用作于application的配置项。 application是什么? 答:这个问题会比较难直接回答。这需要先理解一个tornado web应用是如何工作的。 我们先看Tornado官方给的一个Hello World程序的例子: import tornado.iol
攻防世界-easytornado
m0_49025459的博客
12-22 1227
简单来说,就是网站内容的动态部分,如果有一个网站的内容几乎相同,但只有某些部分发生改变,那么他们很有可能使用了模板模板看起来如下:hello{user.name} 他们有一个静态罐和一个动态罐,hello为静态罐,{}里的内容为动态罐这就是为什么编译器如何是知道该部分是动态的,另外需要注意的是,并非是所有模板看起来都是像上面那样,列如:hello{{user.name}}这是一个名为jinja。
Tornado
weixin_33976072的博客
11-04 169
2019独角兽企业重金招聘Python工程师标准>>> ...
buuojweb刷题wp详解及知识整理—-【护网杯】easy_tornado(模板注入+md5)
01-20
写在前面 服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 ...回显 render 而且url处有异常 同理测试其他选项 ...
[护网杯 2018]easy_tornado(SSTI服务器端模板注入)
weixin_45253573的博客
11-12 682
tornado Tornado是一种 Web 服务器软件的开源版本。Tornado 和主流Web 服务器框架(包括大多数 Python 的框架)有着明显的区别:它是非阻塞式服务器,而且速度相当快。 可以考虑服务器端模板注入 参考SSTI完全学习 SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行,SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架,比如Python的jinja2 mako tornado django,php的smarty
[护网杯 2018]easy_tornado
No Title
12-21 201
知识点: python模板注入: 就是指将一串指令代替变量传入模板中让它执行 ,例如我们在传入参数 值时,可以用 {{}} 符号来包裹一系列代码,以此替代本应是参数的 id,得到的效果就是http://..../?id={{代码}}。 tornado框架:python较主流的web框架 访问首页显示有三个txt文档,请求链接形式如下所示,参数由filename和filehash组成。 file?filename=/hints.txt&filehash=46680cce237a8a9784ec429
easytornado-攻防世界
最新发布
szhangliwenya的博客
04-07 648
handler指向处理当前这个页面的RequestHandler对象, RequestHandler.setting指向self.application.settings,因此构造payload。tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入。查询到可以使用{{handler.settings}}获取服务器的配置文件信息。代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。
buuoj--easy_tornado
qq_43619533的博客
12-07 352
buuoj–easy_tornado 打开页面提示三个链接 /flag.txt /welcome.txt /hints.txt 查看flag.txt /flag.txt flag in /fllllllllllllag 查看welcome.txt /welcome.txt render 查看hints.txt /hints.txt md5(cookie_secret+md5(file...
BUUCTF WEB easy_tornado
A_dmin的博客
12-11 534
BUUCTF WEB easy_tornado 拿到题目,打开发现三个文件: 各自查看: 查阅资料得知tornado是一个python的框架,,, 前几天刚刚好做了个python的django的框架学习,,, render好像是个渲染函数,,,, 看见那个hints.txt得知,我们需要知道cookie_secret是什么就能进行文件读取,,, 而且显然url有点特殊!!!文件读取,,,,...
BUUCT-WEB-easy_tornado
迷风小白
07-02 7585
easy_tornado tornado是python中的一个web应用框架。 拿到题目发现有三个文件 flag.txt /flag.txt flag in /fllllllllllllag 发现flag在/fllllllllllllag文件里 welcome.txt /welcome.txt render render是python中的一个渲染函数,渲染变量到模板中,即可以通过传递不同的参数形...
【护网杯 2018】easy_tornado
Lixunzhe0112的博客
01-17 653
常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞。错误的执行了用户输入。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对python、php、java的一些网站处理框架,比如Python的jinja2mako tornado django,php的smarty twig,java的jadevelocity。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值