BUUCTF日记--[护网杯 2018]easy_tornado

最新推荐文章于 2023-11-12 14:41:17 发布
最新推荐文章于 2023-11-12 14:41:17 发布
阅读量295 收藏 1
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41607190/article/details/105226876
版权

模板注入
何为模板注入,那么肯定要有模板,并且因为这个模板产生了注[狗头]
有一个叫模板引擎的东西,他能让(网页)程序实现界面与数据的分离,业务代码和逻辑的分离,为的就是提升开发效率,提高代码的重用率。
他的注入成因和web的注入成因也一样,服务端在接受用户的输入时没有过滤,在目标编译渲染时,执行了用户恶意插入的内容。

那么究竟什么是模板?
模板就是提供给程序解析的一种语法,换句话说,模板是把数据(变量)到实际视觉呈现(HTML代码)这项工作的一种实现手段,这种手段在前后端都有应用
通俗讲,就是拿到数据,塞到模板里,然后让渲染引擎去将塞进去的东西生成html文本,返回给浏览器。这样做可以提高浏览器显示页面的速度,大大提升效率。

为了更好的理解,再来举个例子
比如定义一个模板

    <html>
    <div>{$what}</div>
    </html>

这只是一个模板,{$what}里面是什么不知道,这里就是我们装数据的地方
如果我们想让里面装上 INVENTOR
那么渲染完成后就是

    <html>
    <div>INVENTOR</div>
    </html>

这只是最简单的例子,渲染引擎是什么决定了你的渲染代码要怎么写。

注入原理

    <?php
    require_once dirname(__FILE__).'/../lib/Twig/Autoloader.php';
    Twig_Autoloader::register(true);
    $twig = new Twig_Environment(new Twig_Loader_String());
    // 将用户输入作为模版变量的值
    $output = $twig->render("Hello {{name}}", array("name" => $_GET["name"]));  
    echo $output;
    ?>

这段代码其实没有什么问题,即使你想用name传一段脚本代码给服务端渲染,你觉得这里有XSS漏洞
但是模板引擎一般都对变量值进行编码和转义,所以不会造成跨站脚本攻击
在这里插入图片描述但下面这段代码就不一样了,它将用户的输入作为模板的内容

    <?php
    require_once dirname(__FILE__).'/../lib/Twig/Autoloader.php';
    Twig_Autoloader::register(true);
    $twig = new Twig_Environment(new Twig_Loader_String());
    // 将用户输入作为模版内容的一部分
    $output = $twig->render("Hello {$_GET['name']}");  
    echo $output;    
    ?>

在引擎渲染的时候,这时用户输入的数据就会被执行
在这里插入图片描述原理大概讲完了,我们看看题目
在这里插入图片描述

http://7dfd3fa3-1ecb-49a3-b734-99be8e925c91.node3.buuoj.cn/file?filename=/flag.txt&filehash=a35d9b1f1d59223ba98daf512554bf56
flag in /fllllllllllllag

http://7dfd3fa3-1ecb-49a3-b734-99be8e925c91.node3.buuoj.cn/file?filename=/welcome.txt&filehash=c17a1847b8e0cfebdce12ecf5b0c6813
render

http://7dfd3fa3-1ecb-49a3-b734-99be8e925c91.node3.buuoj.cn/file?filename=/hints.txt&filehash=60bd2da3d0f9de7b809ae0d097c0fcfe
md5(cookie_secret+md5(filename))

第二个提示render是一个函数名,用来生成模板,也就是这里让做题者联想到模板注入
我们直接访问文件会显示错误
在这里插入图片描述下面这里确实存在漏洞
在这里插入图片描述第三个提示应该就是url中的filehash的值的生成方法
所以我们还缺一个cookie_secret,结合题目提示tornado,这是一个web服务器的框架,里面有一些对象的别名,可以让我们快速访问,这里输入handler.settings,就能访问到cookie_secret
在这里插入图片描述然后用脚本实现第三个提示

import hashlib

hash = hashlib.md5()					#生成一个md5对象
filename = '/fllllllllllllag'
cookie = '57bf8cea-79f0-42e2-a031-53e376bdd691'

hash.update(filename.encode('utf-8'))	#update中的参数必须是二进制的字节流
s = hash.hexdigest()					#hexdigest是用来返回32位的十六进制字符串
print(s)

hash = hashlib.md5()
hash.update((cookie+s).encode('utf-8'))
print(hash.hexdigest())

在这里插入图片描述
如果还有不懂的地方可以关注我的公众号“沉淀Hack”,发消息向我留言,每天会更新大量干货教程,快扫下面的二维码吧
在这里插入图片描述

InventorMAO
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | CTF护网2018easy_tornado解题详析(Tornado之SSTI注入)
等风来
08-24 3844
提示:filename先被md5加密后,结合cookie_secret,再次被md5加密姿势进入页面给出三个链接:提示:filename先被md5加密后,结合cookie_secret,再次被md5加密先加密filename:得到:3bf9f6cf685a6dd8defadabfb41先加密filename:可知存在模板注入,而Tornado框架的附属文件handler.settings中存在cookie_secret故get传参:/error?msg={{handler.settings}}得到
[护网 2018]easy_tornado WriteUp(超级详细!)
lunan的博客
04-22 3274
[护网 2018]easy_tornado   打开题目后,首先发现3个超链接   依次点开三个链接    网址里有参数filename和filehash推测这里flag应该是 filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(filename))里面,filehash里hash就是提示为md5的hash加密。    变量 filename 的值总是为要访问的文件,再根据提示三和 fil
护网 2018easy_tornado
Lixunzhe0112的博客
01-17 558
常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞。错误的执行了用户输入。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对python、php、java的一些网站处理框架,比如Python的jinja2mako tornado django,php的smarty twig,java的jadevelocity。
[护网 2018]easy_tornado
Yb_140的博客
09-05 1595
即md5('61375ac6-5e1d-4510-a256-12786c3e1f09'+md5('/fllllllllllllag'))得到提示信息,得到cookie_secret:61375ac6-5e1d-4510-a256-12786c3e1f09。猜测这里的filehash就是md5加密得到的,我们需要找到cookie_secret。然后结合md5(cookie_secret+md5(filename)),简单来说就是用来生成模板的东西。,就是一个公式,能输出前端页面的公式。
web buuctf [护网 2018]easy_tornado1
weixin_44214568的博客
03-12 4423
分解信息量: 1.题目名称是easy-tornadotornado是python的web框架(web框架的产生是避免程序代码与html编码的编码混乱性,框架将传参过程进行独立) 2.打开一共三个链接,分别点开 /flag.txt 提示内容:flag in /fllllllllllllag ,意思就是flag在文件fllllllllllllag里面,需要考虑怎么进入文件里面 /welcome.txt 提示内容:render,render是tornado里面的渲染函数,就是对web网页界面进行编辑的函
buuojweb刷题wp详解及知识整理—-【护网easy_tornado(模板注入+md5)
01-20
写在前面 服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 ...回显 render 而且url处有异常 同理测试其他选项 ...
bird-crush-SPH.rar_bird-crush-SPH_dyna SPH_鸟撞 LS-DYNA_鸟撞k文件_鸟撞模型
07-14
LS-DYNA是一款强大的非线性有限元分析软件,常用于复杂的瞬态动力学问题,如碰撞、爆炸、冲击等。在航空领域,鸟撞(Bird Strike)问题是一个重要的研究课题,因为它直接关系到飞行安全。鸟撞模拟是通过计算模型来...
2018护网逆向题目
10-16
2018护网逆向题目是针对这一领域的专业挑战,旨在检验参赛者在逆向工程方面的技能和知识。这三道题目——task_Loader7.exe、task_APM233_6.exe和task_huwang-refinal-6.exe,很可能是精心设计的恶意软件或复杂程序...
行业资料-建筑装置-带有防护网的壁纸检验台.zip
09-02
在建筑行业中,壁纸检验台是不可或缺的一环,它主要用于对壁纸的质量进行严格检测,确保产品的安全性和美观性。"带有防护网的壁纸检验台"这一主题着重关注的是检验设备的一个特殊设计——防护网,该设计旨在提高操作...
2020全国工业互联网安全技术技能大赛-护网-chinaiisc2020.zip
10-24
2020全国工业互联网安全技术技能大赛,原来的护网,比赛的原题以及附件,供大家进行学习和交流。祝大家技术进步!
BUUCTF WEB [护网 2018]easy_tornado
Y1da的博客
04-17 645
BUUCTF WEB [护网 2018]easy_tornado 进入环境,发现三个文件 /flag.txt flag in /fllllllllllllag /welcome.txt render /hints.txt md5(cookie_secret+md5(filename)) 根据题目提示可知,题目环境使用python tornado模板渲染搭建,flag文件名为fllllllllllllag。观察URL可知,访问文件需要提交文件名filename和利用cooki
[护网 2018]easy_tornado 1(两种解法!)
最新发布
m0_73734159的博客
11-12 1894
tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量。猜测解题关键点在md5(cookie_secret+md5(filename))这里。改哈希值看看是否有变化。
[护网 2018]easy_tornado(SSTI服务器端模板注入)
weixin_45253573的博客
11-12 647
tornado Tornado是一种 Web 服务器软件的开源版本。Tornado 和主流Web 服务器框架(包括大多数 Python 的框架)有着明显的区别:它是非阻塞式服务器,而且速度相当快。 可以考虑服务器端模板注入 参考SSTI完全学习 SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行,SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架,比如Python的jinja2 mako tornado django,php的smarty
护网2018-easy tornadoBUUCTF
wyj_1216 House
02-07 2517
ssti模板注入 tornado框架 rander 题目 writeup 首先发现有三个文件,点进去看下 /flag.txt flag in /fllllllllllllag /file?filename=/flag.txt&filehash=a41fc7432da96c4b11c1bf1808f3417e /welcome.txt render /file?filename=/w...
CTF-BUUCTF-Web-[护网 2018]easy_tornado
qq_42404383的博客
12-29 1343
CTF-BUUCTF-Web-[护网 2018]easy_tornado 看题: 解题: 1、flag --> 在文件 fllllllllllllag中 2、render()函数渲染 --> 用到SSTI 尝试输入/error?msg={{1}},确实是存在模板注入 3、cookie_secret 4、解题 cookie_secret --> ‘43998eab-59...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值