攻防世界----easytornado笔记

已于 2022-07-11 10:30:11 修改
阅读量494 收藏
点赞数 1
分类专栏: web相关 ctf相关 文章标签: 网络安全
于 2022-07-05 20:19:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44418229/article/details/125626798
版权

参考博客:Python中从服务端模板注入到沙盒逃逸的源码探索 (一) - 先知社区 (aliyun.com)

 

XCTF系列 // Web | easytornado_Ga1axy_z的博客-CSDN博客

Tornado

Tornado是Python开发的全栈式(full-stack) Web框架和异步网络库,是Python的一种Web开发框架

Tornado的模板注入

通过welcome.txt我们可以看到

 很显然,这一题是render模板注入

render模板:

render是python中一种渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,当用户对render内容可控时,就可以注入xss

和flask模板注入的原理差不多

flask模板注入_jjj34的博客-CSDN博客_flask模板注入

分析题目

从这个文件,我们可以知道,filehash的值为 md5( cookie_secret+md5(filename)) 

 从这个文件,我们可以了解到flag在/fllllllllllllag中 

因此 我们直接访问 /fllllllllllllag 文件

很显然,利用点出现了 

存在某个过滤

根据上文看到的提示中有 cookie_secret 因此我们通过handler.setting 去找cookie_secret

tornado源码如下

 

 根据源码构造payload

1.cookie_secret存放在settings里

2.settings作为参数传给了Application的构造函数,因此可以通过self.application.settings 来获取cookie

3.根据官方文档,RequestHandler.settings的别名是self.application.settings并且handler指向处理当前页面的RequestHandler对象,因此可以通过 handler.settings来获取 cookie_secret

因此我们的payload为

http://111.200.241.244:50619/error?msg={{handler.settings}}

 

拿到cookie后就是进行md5加密,算出filehash值

加密的网站:md5在线解密破解,md5解密加密 (cmd5.com)

filehash = md5(cookie_secret + md5( /fllllllllllllag))

1.将 /fllllllllllllag进行md5加密 得到 x1

2.将 x1 与cookie_secret 拼接后进行x2

x2就是我们要的filehash

 

成功解题 

jjj34
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
攻防世界】十六 --- easytornado --- python Tornado框架
qq_43168364的博客
12-28 365
题目 — easytornado 一、writeup 主页有三个文件 分别访问以下可以看到他们的URL格式如下图所示 都是文件名带一个filehash的格式,那就可以猜测访问flag文件的url格式应该就是:/file?filename=/flag的文件名&filehash=xxx。接下来依次看这几个文件的内容。/flag.txt文件 提示flag在:/fllllllllllllag中,我们的URL格式又进一步确定了:/file?filename=/fllllllllllllag&fi
攻防世界Training-Stegano-1
10-31
【标题】"攻防世界Training-Stegano-1" 是一个关于信息安全领域的训练题目,主要涉及的是隐写术(Steganography)技术。隐写术是一种隐藏信息的技术,通常用于在图像、音频或文本中嵌入秘密数据,使得非授权者无法...
easytornado-攻防世界
szhangliwenya的博客
04-07 568
handler指向处理当前这个页面的RequestHandler对象, RequestHandler.setting指向self.application.settings,因此构造payload。tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入。查询到可以使用{{handler.settings}}获取服务器的配置文件信息。代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。
攻防世界 easytornado
最新发布
weixin_63640108的博客
06-06 294
tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量。filehash通过md5(cookie_secret+md5(filename))获得。
攻防世界easytornado
qq_46230755的博客
01-07 510
题目点开存在三个文件 /flag.txt提醒我们flag存在的位置flag in /fllllllllllllag /welcome.txt提醒render,render({options}) 猜测存在模板注入 /hints.txt提醒md5(cookie_secret+md5(filename)) 即先将filenamemd5加密,再将cookie_secret与md5加密后的filename进行md5加密,目前我们需要知道的是filename和cookie_secret,猜测文件名为/flllllll
攻防世界easytornado
wangzhemvp的博客
04-05 289
可以把它理解为 tornado 模板中内置的环境配置信息名称,通过handler.settings 可以访问到环境配置的一些信息。看到 tornado 模板基本上就用 handler.settings。{{ }}有回显,一般存在模版注入。得到cookie_secret。模版注入 + tornado模板。
攻防世界-easytornado
qq_44065556的博客
09-24 211
从题目表述:Tornado框架 可以知道应该是Tornado框架漏洞 tormado是python中的一个web应用容器 点进去场景 呈现在眼前的是 三个链接 我们一个一个点进去看看 flag.txt点进去 flag就在 这里面 试一试url访问 /file?filename=/fllllllllllllag 跳转页面 报了error,在游览器上有回显,那判断这里可能存在模板注入(SSTI) {{ ... }}:装载一个变量,模板渲染的时候,会使用传进来的同名参数这...
攻防世界nice-bgm杂项
11-20
网络安全领域,"攻防世界"是一个广受欢迎的在线平台,提供各种安全挑战,帮助学习者提升他们的黑客防御和攻击技能。"nice-bgm杂项"是其中的一个挑战,属于"misc"类别,这意味着它可能涉及到多种不同类型的解题技巧...
攻防世界1-misc杂项
11-20
攻防世界1-misc杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947726
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
信息网络攻防技术-网络安全.ppt
03-01
信息网络攻防技术-网络安全.ppt
攻防世界-web easytornado
m0_48108919的博客
02-11 707
题目描述:Tornado 框架 显示有3 个文件 1.访问flag.txt文件提示flag在fllllllllllllag文件中 2.访问welcome.txt文件,提示render render是一个Tomado框架的一个渲染函数,即可以通过传递不同的参数形成不同的页面,可能存在模板注入漏洞 3.访问hints.txt文件,看到有个md5加密方法,再看请求的url发现每个url都带有filehash,应该就是filehash的加密公式 根据url特征需要提供filename及.
攻防世界-web-easytornado
wuh2333的博客
07-19 1510
攻防世界,模板注入
攻防世界:web easytornado
Zeker62的博客
09-05 170
真不easy目录提取有用信息:寻找漏洞百度,找tornado的特点:提取有用信息: 打开网站,发现有三个文件 flag.txt: 告诉了我们flag的位置 welcome.txt:告诉我们这是和render渲染函数有关,即可能存在SSTI漏洞 hints.txt: 告诉了我们某个东西的加密方式 根据经验,盲猜这是个身份验证的秘钥,看见URL后面的东西像MD5加密后的密文,所以猜测可能就是fil...
攻防世界web进阶区之easytornado
qq_45756971的博客
07-22 324
点开题目所给链接: 会发现有三个链接,查看其他页面: /flag.txt:/welcome.txt:/hints.txt:我们通过第一个页面会发现flag藏于fllllllllllllag之中,所以我们直接输入/fllllllllllllag尝试,跳转页面会报错:此时我们通过error?msg={{ handler.settings }}传递得到cookie secret: 0df815ab-9f5c-4d1a-aa18-b8d0ebaa5edc,/fllllllllllllag的MD5为 3bf9f6cf
攻防世界-baby_web详解
12-21
根据提供的引用内容,攻防世界-baby_web是一个需要进行攻击和防御的网络应用。根据引用和引用[2]的描述,可以看出该应用存在注入漏洞,并且使用了一些安全措施来防止攻击者利用这些漏洞。攻击者可以通过注入恶意代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

jjj34

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值