web buuctf [护网杯 2018]easy_tornado1

最新推荐文章于 2024-04-07 18:42:38 发布
最新推荐文章于 2024-04-07 18:42:38 发布
阅读量4.3k 收藏 12
点赞数 10
文章标签: 前端 服务器 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44214568/article/details/123441258
版权

分解信息量:

1.题目名称是easy-tornado:tornado是python的web框架(web框架的产生是避免程序代码与html编码的编码混乱性,框架将传参过程进行独立)

2.打开一共三个链接,分别点开

/flag.txt 提示内容:flag in /fllllllllllllag ,意思就是flag在文件fllllllllllllag里面,需要考虑怎么进入文件里面

/welcome.txt 提示内容:render,render是tornado里面的渲染函数,就是对web网页界面进行编辑的函数,和template的渲染是相似的,主要区别render是以脚本的方式进行渲染,template是以html方式进行渲染。这个重点在于是服务器模板,基本可以确定这是ssti(服务器模板注入),服务器模板注入和sql注入等有相同性,问题的关键在于传参

/hints.txt 提示内容:md5(cookie_secret+md5(filename)),md5就是哈希编码

3.根据打开链接的url,里面有两个参数一个是filename,一个是filehash,也就是说filename是第一个文件的提示,filehash是第三个文件的提示,那么问题就是如何获取cookie_secret。

cookie_secret不是通用的属性,也就可以确定,应该是存放在服务器模板中的值,问题就转化为通过传参获取cookie_secret的值。

4.还有一个问题就是参数如何传进去,因为是服务器模板,我们需要进入服务器返回的链接进行传参,我们随便改一下filename,我改成111,传进去之后,无法识别,返回链接http://22b7dd19-d653-4f52-91bd-e3713a459849.node4.buuoj.cn:81/error?msg=Error

也就是通过msg的值进行传参

5.Templates and UI — Tornado 6.1 documentation这个链接是tornado的官方文档,一个是通过文档我们获知传参的类型,另外一个是找到cookie_secret的赋值方法

为了不让大家去翻文档查找,我给大家把有用的内容截取下来

a.在template syntax中

传递的参数值应为{{值}}的格式

b.搜索cookie_secrue

 

cookie_secret在tornado.web.RequestHandler中的application的settings中,也就是需要传参RequestHandler.application.settings,但是传过去提示500,

在语法中其实有提示

然后有

所以传参应为{{handler.settings}},得到

 6.用在线加解密方式进行md5计算得到filehash

flag{714597c9-0d1d-4c92-a960-4b2d1bd1f172} 

 

 

半杯雨水敬过客
关注
  • 10
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
2020全国工业互联网安全技术技能大赛-护网原题及附件-chinaiisc2020
01-11
2020全国工业互联网安全技术技能大赛,原来的护网,比赛的原题以及附件,供大家进行学习和交流。祝大家技术进步!
BUUCTFWeb:[护网 2018]easy_tornado1
Pai_Space
04-27 307
打开后是三个链接 第一个,flag 在/fllllllllllllag 中 render 渲染 测试发现渲染模板注入 第三个提示看着像 URL 跟着的 filehash 内容 /file?filename=/hints.txt&filehash=f0c7d9aa6db81d1ffd09e042949594dc 结合前面我们需要得到文件 /fllllllllllllag,缺少后面对应的 filehash filename /flllllll...
easytornado-攻防世界
最新发布
szhangliwenya的博客
04-07 484
handler指向处理当前这个页面的RequestHandler对象, RequestHandler.setting指向self.application.settings,因此构造payload。tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入。查询到可以使用{{handler.settings}}获取服务器的配置文件信息。代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。
buuojweb刷题wp详解及知识整理—-【护网easy_tornado(模板注入+md5)
01-20
写在前面 服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 点击一下/welcome.txt 回显 render 而且url处有异常 同理测试其他选项 通过猜测可知filehash的值就是/hint.txt中的算法得到的 从而 我们只要得到cookie_secret的值即可通过脚本的到于/fllllllllllllag对应的filename的值 模板注入拿到cookie_secret get传参 ?filename=/fllllllllllllag&filehash= 回显 发现可疑参数msg
2020全国工业互联网安全技术技能大赛-护网-chinaiisc2020.zip
10-24
2020全国工业互联网安全技术技能大赛,原来的护网,比赛的原题以及附件,供大家进行学习和交流。祝大家技术进步!
Python库 | tornado_rest_easy-0.1-py3-none-any.whl
04-26
资源分类:Python库 所属语言:Python 使用前提:需要解压 资源全名:tornado_rest_easy-0.1-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
[护网 2018]easy_tornado1 write up
Teemos的博客
05-31 390
[护网 2018]easy_tornado1 write up 本题所需知识点:SSTI、文件包含 1 题解 点开题目,发现有3个链接 分别点开三个链接 file?filename=/flag.txt&filehash=5cb650c67b3f3eb1c3382db985cba60d file?/filename=/welcome.txt&filehash=453823f83be22fbffa0f5ba9f7e7e8ba file?filename=/hints.txt&fi
[护网 2018]easy_tornado 1(两种解法!)
m0_73734159的博客
11-12 1383
tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量。猜测解题关键点在md5(cookie_secret+md5(filename))这里。改哈希值看看是否有变化。
[护网 2018]easy_tornado1
陈艺秋的博客
07-24 365
普通的cookie并不安全,可以通过客户端修改在Tornado框架中,cookie_secret是一个密钥,一般使用随机生成的字符串,被用于对生成的cookie进行加密。它的作用是确保cookie的安全性,防止被修改或伪造。具体来说,当Tornado应用程序使用set_secure_cookie()函数设置cookie时,会使用cookie_secret对cookie进行加密。而在获取cookie时,Tornado则会使用同样的密钥进行解密,并验证cookie是否被篡改。
BUUCTF[护网 2018]easy_tornado1-write up
m0_62851980的博客
04-23 849
知识点: SSTI(模板注入),render函数,Tornado框架(知识点在最后) 打开靶机,看到三个链接: 分别点进去: 注意每个链接的url: /file?filename=/xxx&filehash=32位MD5 根据flag.txt和hint.txt提示url的形式为:文件名+32位MD5 再看hint.txt的提示:md5(cookie_secret+md5(filename))。明显我们要先找到cookie_secret进行MD5加密,再和进行MD5加密后输入的文
[护网 2018]easy_tornado 1
qq_43618536的博客
07-02 2638
BUUCTF的[护网 2018]easy_tornado 1
网鼎writeup-护网先锋1
08-04
3、得到 flag,截图如下图所示: 1、查看源代码可以发现存在代码泄露,代码如下: 2、在 get 中使用.可以绕过第一个判断 3、使用[email protected]
2018护网逆向题目
10-16
2018护网的3道逆向题目.
BUUCTF---web---[护网 2018]easy_tornado1
2201_75556700的博客
03-13 375
3.通过第一个信息可知,flag在文件名为/fllllllllllllag这个里面,第二个信息中的render是渲染函数,第三个个信息中是一个md5加解密,因为filename我们已经知道,所以我们需要找到cookie_secret的值。8.在这三个信息中我们唯一不知道的就是cookie_secert的值,tornado中msg该传什么值才能得到cookie_secert的值,是我们接下来要做的事情,查阅文档之后。6.需要利用msg的值进行传参,在tornado官方文档中提到。2.依次点开文件链接。
Tornado
weixin_33976072的博客
11-04 159
2019独角兽企业重金招聘Python工程师标准>>> ...
[护网 2018]easy_tornado 1(STTI模板注入+Tornado的secret_cookie)
Home to come
08-19 1387
本文为个人刷题记录,不记录完整步骤,主要记录比较有感触的知识点 SSTI注入 参考:SSTI完全学习 SSTI就是服务器端模板注入(Server-Side Template Injection),也给出了一个注入的概念。 常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。 sql注入是从用户获得一个输入,然后又后端脚本语言
[护网 2018]easy_tornado1_wp
m0_67878917的博客
07-12 175
可以发现cookie_secret参数是在tornado.web.Application的settings这个字典中的,一般可以通过tornado.web.Application.settings访问该参数所在字典,而tornado中可使用别名handler将前缀替换,故参数为handler.settings,在tornado中传参方式为 {{参数}} ,故构造{{handler.settings}}这里提示需要找到cookie_ssecret这个值将它与用MD5加密后的文件名连接后再进用MD5加密。
[护网 2018]easy_tornado
Yb_140的博客
09-05 1583
即md5('61375ac6-5e1d-4510-a256-12786c3e1f09'+md5('/fllllllllllllag'))得到提示信息,得到cookie_secret:61375ac6-5e1d-4510-a256-12786c3e1f09。猜测这里的filehash就是md5加密得到的,我们需要找到cookie_secret。然后结合md5(cookie_secret+md5(filename)),简单来说就是用来生成模板的东西。,就是一个公式,能输出前端页面的公式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值