[护网杯 2018]easy_tornado

最新推荐文章于 2024-07-20 17:49:22 发布
最新推荐文章于 2024-07-20 17:49:22 发布
阅读量175 收藏 1
点赞数
分类专栏: 靶场练习 文章标签: tornado 安全 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41571993/article/details/127232844
版权

解题过程

本题涉及到模板注入漏洞,根据题目可知为tornado所产生的模板注入漏洞,相关知识点可参考文章——BUUCTF/护网杯 easy_tornado 模板注入

首先观察页面,由三个文件链接组成,且由源码得该三个链接都与filehhash有关:

在这里插入图片描述

我们点击文件并使用使用Burpsuite抓包观察代码:

在这里插入图片描述

其中有个If-None-MatchEtag,只有当这两个值不同时页面才显示 202 ok,即正确回显:

在这里插入图片描述

该页面链接提示flag/fllllllllllllag中,我们接着观察下一个文件链接:
在这里插入图片描述

该页面提示了一个render的东西,百度得rendertornado得一个模块,意思是找到模板文件,进行渲染,从而显示页面,即我们可以使用模板注入漏洞,{{}}来显示调用参数。

在这里插入图片描述

最后一个页面提示我们filehash怎么形成,目前关键是找到cookie_secret参数值,我们通过修改其他页面的filehash,得到一个回显:
在这里插入图片描述
涉及到/error?msg=Error,即出现了一个msg参数,这就是给我们进行模板注入的点,我们要得到cookie_secret,就要利用tornado中的handler.settings对象来获取,故我们构造URL为:/error?msg={{handler.settings}},得到回显:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wubo5aP5-1665316276935)(靶场通关笔记.assets/image-20221009194248796.png)]

其中cookie_secret=e7ebf92d-d3a4-46e7-b9bc-3398cb65c316接下来就简单了,首先算出/fllllllllllllagmd5值:
在这里插入图片描述

取32位小写的选项:3bf9f6cf685a6dd8defadabfb41a03a1并于cookie_secret合并:e7ebf92d-d3a4-46e7-b9bc-3398cb65c3163bf9f6cf685a6dd8defadabfb41a03a1再次加密:

在这里插入图片描述

得到最终结果: f7ed94a7a14276fc9f70fa21a5304073,然后构造URL:/file?filename=/fllllllllllllag&filehash=f7ed94a7a14276fc9f70fa21a5304073,得到页面:

在这里插入图片描述

小结

​ 在解题过程中,对改模板并不熟悉,所以不清楚该模板存在的模板注入漏洞,后续经过参考其他文章以及学习该方面的知识,才解出该题目。

丙戌年1101
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
网络安全 | CTF】护网2018easy_tornado解题详析(Tornado之SSTI注入)
等风来
08-24 3919
提示:filename先被md5加密后,结合cookie_secret,再次被md5加密姿势进入页面给出三个链接:提示:filename先被md5加密后,结合cookie_secret,再次被md5加密先加密filename:得到:3bf9f6cf685a6dd8defadabfb41先加密filename:可知存在模板注入,而Tornado框架的附属文件handler.settings中存在cookie_secret故get传参:/error?msg={{handler.settings}}得到
[护网 2018]easy_tornado WriteUp(超级详细!)
lunan的博客
04-22 3357
[护网 2018]easy_tornado   打开题目后,首先发现3个超链接   依次点开三个链接    网址里有参数filename和filehash推测这里flag应该是 filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(filename))里面,filehash里hash就是提示为md5的hash加密。    变量 filename 的值总是为要访问的文件,再根据提示三和 fil
护网 2018easy_tornado
Lixunzhe0112的博客
01-17 613
常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞。错误的执行了用户输入。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对python、php、java的一些网站处理框架,比如Python的jinja2mako tornado django,php的smarty twig,java的jadevelocity。
web buuctf [护网 2018]easy_tornado1
weixin_44214568的博客
03-12 4467
分解信息量: 1.题目名称是easy-tornadotornado是python的web框架(web框架的产生是避免程序代码与html编码的编码混乱性,框架将传参过程进行独立) 2.打开一共三个链接,分别点开 /flag.txt 提示内容:flag in /fllllllllllllag ,意思就是flag在文件fllllllllllllag里面,需要考虑怎么进入文件里面 /welcome.txt 提示内容:render,render是tornado里面的渲染函数,就是对web网页界面进行编辑的函
buuojweb刷题wp详解及知识整理—-【护网easy_tornado(模板注入+md5)
01-20
写在前面 服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 ...回显 render 而且url处有异常 同理测试其他选项 ...
2018护网逆向题目
10-16
2018护网逆向题目是针对这一领域的专业挑战,旨在检验参赛者在逆向工程方面的技能和知识。这三道题目——task_Loader7.exe、task_APM233_6.exe和task_huwang-refinal-6.exe,很可能是精心设计的恶意软件或复杂程序...
2020全国工业互联网安全技术技能大赛-护网-chinaiisc2020.zip
10-24
2020全国工业互联网安全技术技能大赛,原来的护网,比赛的原题以及附件,供大家进行学习和交流。祝大家技术进步!
《学校安全工作总结2018》_0.doc
09-15
《学校安全工作总结2018》是对过去一年学校安全工作的全面回顾和总结,这份文档着重强调了学校安全工作的重要性,并详细介绍了该校在安全管理方面采取的措施、取得的成效以及未来的工作规划。 首先,学校高度重视...
网鼎writeup-护网先锋1
08-04
【网鼎writeup-护网先锋1】的知识点总结: 在网络安全竞赛“网鼎”中,参赛者需要解决一系列挑战,这些挑战涉及到多种安全技术,如代码泄露、漏洞利用、加壳破解、文件格式分析等。以下是各部分的具体知识点: ...
[护网 2018]easy_tornado 1(两种解法!)
m0_73734159的博客
11-12 2189
tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量。猜测解题关键点在md5(cookie_secret+md5(filename))这里。改哈希值看看是否有变化。
[护网 2018]easy_tornado1
最新发布
weixin_63920195的博客
07-20 550
当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架,比如Python的jinja2 mako tornado django,php的smarty twig,java的jadevelocity。当这些框架对运用渲染函数生成html的时候会出现SSTI的问题。所有handler.settings就指向RequestHandler.application.settings了。SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。
[护网 2018]easy_tornado(SSTI服务器端模板注入)
weixin_45253573的博客
11-12 666
tornado Tornado是一种 Web 服务器软件的开源版本。Tornado 和主流Web 服务器框架(包括大多数 Python 的框架)有着明显的区别:它是非阻塞式服务器,而且速度相当快。 可以考虑服务器端模板注入 参考SSTI完全学习 SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行,SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架,比如Python的jinja2 mako tornado django,php的smarty
[护网 2018]easy_tornado(wp)
wikey 的博客
03-29 920
当前使用的一些框架,比如python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。除此之外,在Twig模板引擎里,,{{var}} 除了可以输出传递的变量以外,还能执行一些基本的表达式然后将其结果作为该模板变量的值。msg={{1}},输出1,可以确定是模板注入。render渲染函数。
【CTF】buuctf web(二)——[护网 2018]easy_tornado
m0_52923241的博客
08-01 757
[护网 2018]easy_tornado 首先出来三个链接 查看flag.txt 提示flag在/fllllllllllllag中 OK,知道了第一个条件,filename=/fllllllllllllag 查看welcome.txt 查看hints.txt 分析一下 这里有两个参数,第一个参数filename,文件的名称,我们通过查看flag.txt文件知道,藏flag的文件名为fllllllllllllag;第二个参数filehash,翻译一下:文件哈希,也就是加密了 加密方法在第三个文件中md
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丙戌年1101

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值