记一次 easy_tornado 之旅

最新推荐文章于 2024-04-07 18:42:38 发布
最新推荐文章于 2024-04-07 18:42:38 发布
阅读量109 收藏 1
点赞数
分类专栏: 靶场解题篇 文章标签: python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_34761046/article/details/114850968
版权

  1. 先了解下题目里 tornado 看看情况
    在这里插入图片描述
    大概心里有个方向了

  2. 话不多说,先上图
    在这里插入图片描述

  3. 根据题目可知有三个文件,不管三七二十一,先挨个点一遍,看看效果
    在这里插入图片描述
    flag.txt:文件里给出了,flag的位置??这么简单?尝试一波能否访问:
    在这里插入图片描述
    错误信息,不能访问,发现访问需要 filehash,文件名知道,filehash 不知道啊,接着往下看看吧
    在这里插入图片描述
    这里只给了一个单词,先不管吧,小编最初只是了解下单词什么意思,嗯不够纯粹,深入了解一下,才发现这是 python 的一个渲染函数。那么应该考虑是 python 模板注入了
    在这里插入图片描述
    这里就更带劲了,直接给出了获取 filehash 的方法,前提是得知道 cookie_secret

  4. 前面我们知道 tornado render,那么先去了解下这是个什么东西
    Tornado小记 – 模板中的Handler
    然后牵连出 STTI,参考:SSTI完全学习

概要:
SSTI就是服务器端模板注入(Server-Side Template Injection),也给出了一个注入的概念。
SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行。SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架,比如Python的jinja2、mako、tornado、django,php的smarty、twig,java的jade、velocity。当这些框架对运用渲染函数生成html的时候会出现SSTI的问题。

了解完之后,发现在tornado模板中,存在一些可以访问的快速对象,例如:

<title>
     {{ escape(handler.settings["cookie"]) }}
 </title>
  • handler.settings指向RequestHandler.settings,而RequestHandler.settings又指向self.application.settings 。所有handler.settings就指向RequestHandler.application.settings了。而这里面正是我们的环境变量
  • 为什么使用 {{}}
    Tornado templates support control statements and expressions. Control statements are surrounded by {% and %}, e.g. {% if len(items) > 2 %}. Expressions are surrounded by {{ and }}, e.g. {{ items[0] }}.

根据以上信息,构造如下 payload:
在这里插入图片描述
在这里插入图片描述
5. 尝试用环境变量:handler.settings
在这里插入图片描述
得到了 cookie_secret,根据之前得到的 filehash 的加密方式:md5(cookie_secret+md5(filename))
在这里插入图片描述
在这里插入图片描述
或者使用脚本:

import hashlib

def Md5(x):
	md5 = hashlib.md5(str(x).encode("utf8")).hexdigest()
	return md5
	
print(Md5("998295d7-756f-4b8a-ab70-ecadb46d9033"+Md5("/fllllllllllllag")))
  1. 获取加密后的 filehash,进行注入,payload如下;
filename=/fllllllllllllag&filehash=2aaa47cd21fcbb4c37344c705ad3f0ba

在这里插入图片描述
7. 总结
STTI 注入初次接触,不是熟悉,不了解 handler.settings 这个东西,基本废了,web 方向涉猎太广,需要学习的东西太多了,,,
还是要多多积累知识,对平时遇到的 payload 整理归类,便于以后使用或者提供思路。

Loong-Lee
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
easy_tornado
nole_的博客
01-22 250
进入网址,看到一下内容 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mLMHFZFt-1611296176433)(C:\Users\Noel丶\Desktop\论坛\Easy_tornado\image-20210122125417272.png)] 首先,习惯性的访问一下 robots.txt,看一下有没有什么好东西 看来不存在 返回,f12,发现body中的三行文字,并且分别指向三个地址 ,依次打开 首先,很容易的观察到,我们请求的网址都是由filename以及 f
buuoj--easy_tornado
qq_43619533的博客
12-07 337
buuoj–easy_tornado 打开页面提示三个链接 /flag.txt /welcome.txt /hints.txt 查看flag.txt /flag.txt flag in /fllllllllllllag 查看welcome.txt /welcome.txt render 查看hints.txt /hints.txt md5(cookie_secret+md5(file...
easytornado-攻防世界
最新发布
szhangliwenya的博客
04-07 536
handler指向处理当前这个页面的RequestHandler对象, RequestHandler.setting指向self.application.settings,因此构造payload。tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入。查询到可以使用{{handler.settings}}获取服务器的配置文件信息。代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。
easytornado
……
08-05 158
攻防世界web
BUUCTF WEB easy_tornado
A_dmin的博客
12-11 518
BUUCTF WEB easy_tornado 拿到题目,打开发现三个文件: 各自查看: 查阅资料得知tornado是一个python的框架,,, 前几天刚刚好做了个python的django的框架学习,,, render好像是个渲染函数,,,, 看见那个hints.txt得知,我们需要知道cookie_secret是什么就能进行文件读取,,, 而且显然url有点特殊!!!文件读取,,,,...
[护网杯 2018]easy_tornado
weixin_52116519的博客
04-16 1209
前言 这道题需要对tornado框架有一些熟悉。因为不熟悉,后面就完全没有思路了,也就不会做了。这道题不止考某个知识点,更重要的是面对未知的东西,怎么去找资料和搜哪些关键词。 解题 1、看名字就觉得眼熟,额,是python框架。大概会涉及到SSTI。 2、flag在/fllllllllllllag,但是还需要filehash。而且cookie_secret也不知道是啥。 3、访问/fllllllllllllag时,出现这个页面。前面的都没有SSTI,试试这个就有了。 4、现在目标就是怎么利用msg这个参
install_tornado2_2.rar_tornado_tornado2.2_tornado安装_vxworks_vxwo
09-23
Tornado 是一个开源的 Python Web 服务器和网络库,最初由 FriendFeed 团队开发,后来被 Facebook 收购并贡献给了社区。Tornado 以其非阻塞 I/O 和异步处理能力而闻名,这使得它在处理大量并发连接时表现出色,尤其...
buuojweb刷题wp详解及知识整理—-【护网杯】easy_tornado(模板注入+md5)
01-20
服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 点击一下/welcome.txt 回显 render 而且url处有异常 同理测试其他...
VxWork-And-Tornado.rar_Tornado vxwork_tornado_tornado and vxwork
09-19
VxWorks是一款由Wind River Systems开发的嵌入式实时操作系统(RTOS),被广泛应用于航空、航天、通信、医疗等对实时性要求极高的领域。它以其高性能、高可靠性以及丰富的功能集著称,为开发者提供了高效能的软件...
systemTime.zip_tornado_vxworks 函数
09-24
`systemTime.zip_tornado_vxworks` 提供了关于如何在VxWorks下使用tornado集成开发环境来管理系统时钟的函数。本文将详细讲解其中涉及的关键知识点。 首先,`systemTime.c` 文件通常包含具体的实现代码,这些代码是...
wind_media_library_3_0_3.rar_tornado 2.2_tornado 2.2.1_tornado i
09-23
WIND MEDIA LIBRARY 3.0.3 (CP3) for Tornado 2.2.0 and Tornado 2.2.1 Up-to-date product bulletins, information on known problems and fixes/changes made in this release, and essential reference ...
【护网杯 2018】easy_tornado
Lixunzhe0112的博客
01-17 560
常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞。错误的执行了用户输入。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对python、php、java的一些网站处理框架,比如Python的jinja2mako tornado django,php的smarty twig,java的jadevelocity。
easy_tornado复现
AsagiRiAsagi的博客
01-03 808
Easy_tornado分析 问题与解答 cookie_secret是什么? 答:根据Tornado官方文档的解释:这是settings中关于认证和安全方面的一个配置参数。 settings又是什么? 答:是一个python字典。通常用作于application的配置项。 application是什么? 答:这个问题会比较难直接回答。这需要先理解一个tornado web应用是如何工作的。 我们先看Tornado官方给的一个Hello World程序的例子: import tornado.iol
漏洞复现-easy_tornado
qq_59350385的博客
07-04 274
windowsFirefoxtornado是python中的一个web应用框架。拿到题目发现有三个文件:flag.txt 发现flag在/fllllllllllllag文件里;welcome.txt render是python中的一个渲染函数,渲染变量到模板中,即可以通过传递不同的参数形成不同的页面。hints.txt filehash=md5(cookie_secret+md5(filename)) 现在filename=/fllllllllllllag,只需要知道cookie_secret的
Tornado
weixin_33976072的博客
11-04 161
2019独角兽企业重金招聘Python工程师标准>>> ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值