XCTF系列 // Web | easytornado

最新推荐文章于 2024-06-06 16:17:55 发布
最新推荐文章于 2024-06-06 16:17:55 发布
阅读量1.2k 收藏 6
点赞数 3
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45805420/article/details/107876871
版权
这篇博客主要介绍了在XCTF系列中遇到的Web挑战easytornado,涉及Tornado框架的SSTI漏洞利用。文章分析了如何通过模板注入获取cookie_secret,并利用Python的hashlib模块计算filehash来找到flag。
摘要由CSDN通过智能技术生成

前言

本题涉及到的知识点有,Tornado 的 SSTI 漏洞Tornado 中的 cookie_secret 值 以及 Python3 中的 hashlib 模块

首先大概的介绍一下 Tornado 的相关概念。

Tornado

Tornado 是使用 Python 开发的全栈式(full-stack)Web 框架和异步网络库。与以前提到过的 Flask 一样都是 Python 的一种 Web 开发框架。

Tornado render 模板注入

Tornado render 是 Python 中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对 render 内容可控,不仅可以注入 XSS 代码,而且还可以通过 { {}} 进行传递变量和执行简单的表达式。模板注入的相关概念在以前的文章中已经提到过,在这里就不再赘述。

由于本人对于这些框架的了解几乎为零… So,关于 SSTI in Tornado 的分析可以参考博客 Python中从服务端模板注入到沙盒逃逸的源码探索 (一) 或者 python SSTI tornado render模板注入(PS. 这篇博客写的一点都不通畅…读起来好费力啊…)

接下来具体分析分析题目。

打开题目可以看到有三个文件,逐一访问,内容如下:

  1. /flag.txt
    在这里插入图片描述
  2. /welcome.txt
    在这里插入图片描述
  3. /hints.txt
最低0.47元/天 解锁文章
Ga1axy_z
关注
专栏目录
XCTFeasytornado题目
daqiangdetianxia的博客
07-07 232
py是个好工具,要多加以利用 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20200707170254527.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2RhcWlhbmdkZXRpYW54aWE=,size_16,color_FFFFFF,t_70 经过分析。看到题目的关键点在于找到cookie_sec.
XCTF-Web-高手区-easytornado
1stPeak's Blog
06-22 395
题目 解题 1、访问url 点进去看看 2、直接访问/fllllllllllllag文件 发现报错了,但我们发现URL中的Error是我们返回的Error,那么我们再来测试一下 发现可能存在SSTI漏洞,但被过滤了部分参数,所以不能使用 3、这里再回到题目信息easytornado,可以判断出可能是一个python的tornado漏洞 因为我没学过python的框架,就不详细解析了,只写payload 这里我们要访问/fllllllllllllag文件,并且还要filehash正确,那么我们
XCTF攻防世界web进阶easytornado
qq_60787987的博客
04-02 3650
打开题目我们可以看到如下界面: 点开flag.txt看到 /flag.txt flag in /fllllllllllllag 提示我们flag所在的文件。 点开welcome.txt看到render,这里就涉及到本题目的核心知识,模板注入。这个等下再讲。 接下来,点开hints就看到 /hints.txt md5(cookie_secret+md5(filename)) 涉及到知识有 render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页 ren
XCTF-easy_web
qq_43465336的博客
08-20 224
参考:https://blog.csdn.net/qq_59950255/article/details/123215817。找一些特殊字符看看字符规范器效果和能不能找到能规范成{{}}的特殊字符。抓包中返回python版本,可能存在flask_ssti模板注入。但需将受限字符先转为特殊字符,使用python脚本完成上述处理。加引号尝试注入,有报错提示引号是不准使用的字符。1+1的代码执行了,存在ssti模板注入漏洞。输入{{11}}发现{{}}被过滤。找到特殊字符︷︷︸︸。好用的payload。
easytornado
……
08-05 164
攻防世界web
XCTF系列 // Web | php_rce & Web_python_template_injection
qq_45805420的博客
07-26 256
前言 这两题涉及到的知识点有,ThinkPHP 的远程代码执行漏洞 以及 flask的 SSTI 漏洞(服务端模板注入) 。   由于水平有限,关于以上内容的了解均只到表面,具体漏洞原理尚未看明白,详细分析只好以后再补,在这里先参照网上的 writeup,照猫画虎,略微整理分析一下解题思路与流程。 1` php_rce ThinkPHP 是一个轻量级国产 PHP 开发框架,它可以支持 windows/Unix/Linux 等服务器环境。在 ThinkPHP 5 中出现了由于变量覆盖而引起的 RCE(远程命令
XCTF系列 // Web ez题 Writeup
qq_45805420的博客
07-11 543
1`robots robots 协议也叫 robots.txt 是一种存放于网站根目录下的ASCII编码的文本文件,它用来告知搜索引擎(或网络爬虫)哪些内容能被抓取,哪些内容不能被抓取。因为一些系统中的URL是大小写敏感的,所以 robots.txt 的文件名应统一为小写。   进入本题场景,网页中什么内容也没有,不过没有关系,既然题目为 robots ,故可以先访问 robots.txt 看看。   在该页面可以看到明显的提示,故直接访问 f1ag_1s_h3re.php 页面就可以得到flag。 2`
xctf新手练习https://adworld.xctf.org.cn/task/task_list?type=misc&number=1&grade=0
weixin_30438813的博客
05-23 2717
view source Q:无法用鼠标右键查看原码,怎么办?A:浏览器地址栏在网址前输入 view-source: 即可查看源码 get post Q:用 get 提交 a=1,用 post 提交 b=2A:url后加 ?a=1,用 hackbar 提交b=2 robots Q:robots.txtA:域名后加 robots.txt backup Q:找到网站的备份文件A:暴力域名。...
XCTF攻防世界web.doc
09-19
总结来说,XCTF攻防世界Web系列挑战涵盖了Web安全的多个方面,从基本的源代码查看到复杂的JavaScript逻辑分析,每个环节都需要参赛者具备扎实的Web基础知识和敏锐的洞察能力。通过解决这些挑战,参与者不仅能提高...
XCTF-攻防世界CTF平台-Web类——15、easytornado(SSTI服务器模板注入、Tornado 框架render渲染函数、MD5加密)
Onlyone_1314的博客
12-11 2847
目录标题找到注入点查看tornado的官方文档得到cookie_secret的值计算md5值得到flag 打开题目地址: 题目描述使用了Tornado 框架,Tornado是Python的一种 Web 服务器软件框架。 有三个文件,分别查看: 提示flag所在的文件/fllllllllllllag,url中GET方式提交了2个参数:filename=/flag.txt&filehash=6d9ebcb83324409e048e0d8086173713 提示使用了render函数,由于rend
buuoj--easy_tornado
qq_43619533的博客
12-07 352
buuoj–easy_tornado 打开页面提示三个链接 /flag.txt /welcome.txt /hints.txt 查看flag.txt /flag.txt flag in /fllllllllllllag 查看welcome.txt /welcome.txt render 查看hints.txt /hints.txt md5(cookie_secret+md5(file...
【攻防世界】easytornado
wangzhemvp的博客
04-05 343
可以把它理解为 tornado 模板中内置的环境配置信息名称,通过handler.settings 可以访问到环境配置的一些信息。看到 tornado 模板基本上就用 handler.settings。{{ }}有回显,一般存在模版注入。得到cookie_secret。模版注入 + tornado模板。
攻防世界:easytornado
qq_46230755的博客
01-07 522
题目点开存在三个文件 /flag.txt提醒我们flag存在的位置flag in /fllllllllllllag /welcome.txt提醒render,render({options}) 猜测存在模板注入 /hints.txt提醒md5(cookie_secret+md5(filename)) 即先将filenamemd5加密,再将cookie_secret与md5加密后的filename进行md5加密,目前我们需要知道的是filename和cookie_secret,猜测文件名为/flllllll
攻防世界 easytornado
最新发布
weixin_63640108的博客
06-06 338
tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量。filehash通过md5(cookie_secret+md5(filename))获得。
攻防世界 easytornado wp
weixin_45253216的博客
01-19 1655
2021.1.19 不知不觉,1月份都到了19号,感觉一天一道题不太行呀。【狗头】 废话不多说,先写题解,再总结知识点。 题目名叫easytornado,应该是tornado框架的漏洞。 挨个点开看看 看到了/flllllllllag这个文件,估计是flag,但是看到了上面的验证逻辑,有个filehash值,按照格式把文件名的hash值搞出来,emmm看格式应该是MD5,但是不对。 但是别急,一共给了三个文件夹呢。查看第二个welcome.txt 发现了render。百度一波tornado rende
easytornado-攻防世界
szhangliwenya的博客
04-07 634
handler指向处理当前这个页面的RequestHandler对象, RequestHandler.setting指向self.application.settings,因此构造payload。tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入。查询到可以使用{{handler.settings}}获取服务器的配置文件信息。代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。
【攻防世界】十六 --- easytornado --- python Tornado框架
qq_43168364的博客
12-28 376
题目 — easytornado 一、writeup 主页有三个文件 分别访问以下可以看到他们的URL格式如下图所示 都是文件名带一个filehash的格式,那就可以猜测访问flag文件的url格式应该就是:/file?filename=/flag的文件名&filehash=xxx。接下来依次看这几个文件的内容。/flag.txt文件 提示flag在:/fllllllllllllag中,我们的URL格式又进一步确定了:/file?filename=/fllllllllllllag&fi
xctf supersqli
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值