BUUCTF--Web--[护网杯 2018]easy_tornado

最新推荐文章于 2024-04-09 15:29:52 发布
最新推荐文章于 2024-04-09 15:29:52 发布
阅读量449 收藏 1
点赞数 2
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44866139/article/details/105867078
版权

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述解题突破点:

发现每个url后面都有一个filehash

hints.txt中提示md5(cookie_secret+md5(filename))

而flag.txt中提示flag in /fllllllllllllag

猜测flag就在fllllllllllllag文件中,关键找出cookie_secret

这里用到render()函数(生成模板的函数,想到模板注入STTI)

直接将要读取的文件名修改为fllllllllllllag
在这里插入图片描述发现报错页面
在这里插入图片描述在读取文件失败的这个链接中,发现STTI漏洞
在这里插入图片描述
在这里插入图片描述
测试发现有过滤,过滤的特殊字符有

"%'()*-/=[\]_|

在这里插入图片描述

参考师傅的博客https://blog.csdn.net/weixin_44037296/article/details/105078717

通过handler.settings对象获取cookie_secret的值,即:

handler指向RequestHandler
RequestHandler.settings指向self.application.settings
所以handler.settings最终指向RequestHandler.application.settings

xxx.buuoj.cn/error?msg={{handler.settings}}

在这里插入图片描述
脚本:

import hashlib
hash = hashlib.md5()#获取一个md5加密算法对象

filename=‘/fllllllllllllag‘
cookie_secret="0567b8eb-21bc-4c25-861f-481b36239643"
hash.update(filename.encode(‘utf-8‘))
s1=hash.hexdigest()//返回摘要,作为十六进制数据字符串值
hash = hashlib.md5()
hash.update((cookie_secret+s1).encode(‘utf-8))
print(hash.hexdigest())//hash.hexdigest() 
返回摘要,作为十六进制数据字符串值

在这里插入图片描述

一只小白来了
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[杯 2018]easy_tornado WriteUp(超级详细!)
lunan的博客
04-22 3210
[杯 2018]easy_tornado   打开题目后,首先发现3个超链接   依次点开三个链接    址里有参数filename和filehash推测这里flag应该是 filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(filename))里面,filehash里hash就是提示为md5的hash加密。    变量 filename 的值总是为要访问的文件,再根据提示三和 fil
杯 2018】easy_tornado
Lixunzhe0112的博客
01-17 528
常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞。错误的执行了用户输入。当然还是和sql注入有所不同的,SSTI利用的是现在的站模板引擎(下面会提到),主要针对python、php、java的一些站处理框架,比如Python的jinja2mako tornado django,php的smarty twig,java的jadevelocity。
BUUCTF——Web_buuctfweb,精心整理
最新发布
2401_84160272的博客
04-09 745
登录后便可查看到flagflag为:启动靶机,出现以下页面查看源代码尝试在址后面加上?cat=dog出现以下存在flag的页面flag为:启动靶机,出现以下页面查看源代码source.php 应该是后端的源码,这题代码审计了源码中 给出了 两个文件,还有一个 **hint.php,**这里给出了flag的位置得到flagflag为:启动靶机,出现以下界面点击tips跳转到flag.php,flag应该就在这个php文件中文件名为flag.php,那么flag应该就存在于此文件中,但是我们f12并没有查看到
BUUCTF WEB [杯 2018]easy_tornado
Y1da的博客
04-17 635
BUUCTF WEB [杯 2018]easy_tornado 进入环境,发现三个文件 /flag.txt flag in /fllllllllllllag /welcome.txt render /hints.txt md5(cookie_secret+md5(filename)) 根据题目提示可知,题目环境使用python tornado模板渲染搭建,flag文件名为fllllllllllllag。观察URL可知,访问文件需要提交文件名filename和利用cooki
[杯 2018]easy_tornado 1(两种解法!)
m0_73734159的博客
11-12 1677
在tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量。猜测解题关键点在md5(cookie_secret+md5(filename))这里。改哈希值看看是否有变化。
[杯 2018]easy_tornado
m0sway的博客
03-30 190
BUU CTF [杯 2018]easy_tornado WriteUp
buuojweb刷题wp详解及知识整理—-【杯】easy_tornado(模板注入+md5)
01-20
写在前面 服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 ...回显 render 而且url处有异常 同理测试其他选项 ...
TCAGHP 066-2019 危岩落石柔性防工程技术规范(试行)
04-08
TCAGHP 066-2019 危岩落石柔性防工程技术规范(试行)
行业资料-建筑装置-带有防的壁纸检验台.zip
09-02
行业资料-建筑装置-带有防的壁纸检验台.zip
行业分类-设备装置-一种钢筋操作防.zip
08-20
行业分类-设备装置-一种钢筋操作防.zip
行业资料-交通装置-一种摩托车消声器防.exe
08-15
行业资料-交通装置-一种摩托车消声器防.exe
[杯 2018]easy_tornado1 write up
Teemos的博客
05-31 398
[杯 2018]easy_tornado1 write up 本题所需知识点:SSTI、文件包含 1 题解 点开题目,发现有3个链接 分别点开三个链接 file?filename=/flag.txt&filehash=5cb650c67b3f3eb1c3382db985cba60d file?/filename=/welcome.txt&filehash=453823f83be22fbffa0f5ba9f7e7e8ba file?filename=/hints.txt&fi
[杯 2018]easy_tornado(SSTI服务器端模板注入)
weixin_45253573的博客
11-12 638
tornado Tornado是一种 Web 服务器软件的开源版本。Tornado 和主流Web 服务器框架(包括大多数 Python 的框架)有着明显的区别:它是非阻塞式服务器,而且速度相当快。 可以考虑服务器端模板注入 参考SSTI完全学习 SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行,SSTI利用的是现在的站模板引擎,主要针对python、php、java的一些站处理框架,比如Python的jinja2 mako tornado django,php的smarty
BUUCTF,Web:[杯 2018]easy_tornado1
Pai_Space
04-27 318
打开后是三个链接 第一个,flag 在/fllllllllllllag 中 render 渲染 测试发现渲染模板注入 第三个提示看着像 URL 跟着的 filehash 内容 /file?filename=/hints.txt&filehash=f0c7d9aa6db81d1ffd09e042949594dc 结合前面我们需要得到文件 /fllllllllllllag,缺少后面对应的 filehash filename /flllllll...
[杯 2018]easy_tornado(wp)
wikey 的博客
03-29 884
当前使用的一些框架,比如python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。除此之外,在Twig模板引擎里,,{{var}} 除了可以输出传递的变量以外,还能执行一些基本的表达式然后将其结果作为该模板变量的值。msg={{1}},输出1,可以确定是模板注入。render渲染函数。
BUUCTF[杯 2018]easy_tornado1-write up
m0_62851980的博客
04-23 872
知识点: SSTI(模板注入),render函数,Tornado框架(知识点在最后) 打开靶机,看到三个链接: 分别点进去: 注意每个链接的url: /file?filename=/xxx&filehash=32位MD5 根据flag.txt和hint.txt提示url的形式为:文件名+32位MD5 再看hint.txt的提示:md5(cookie_secret+md5(filename))。明显我们要先找到cookie_secret进行MD5加密,再和进行MD5加密后输入的文
[杯 2018]easy_tornado 1
weixin_45674567的博客
06-01 2857
点击/flag.txt,说明flag在 /fllllllllllllag 里。 点击/welcome.txt,render()函数是渲染函数,进行服务器端渲染。 点击/hints.txt,出现: reader()函数联想到模板注入:±*/等符号,都被过滤,^没被过滤,成功回显 根据: 搜素百度得Tornado框架的附属文件handler.settings中存在cookie_secret 尝试:error?msg={{handler.settings}} 得到 结合之前访问/flag.txt、/we..
2018easy_tornado(BUUCTF提供复现)
Sea_Sand息禅
09-26 4824
进入页面: 然后依次看一下: 1)/flag.txt 页内容: /flag.txt flag in /fllllllllllllag url: file?filename=/flag.txt&filehash=9f1a5c8c40be3aafbc5e719d151b1d36 这个页面告诉我们,flag在/fllllllllllllag文件中 2)/welcome.txt 页内容: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值