buuctfweb刷题wp详解及知识整理----【护网杯】easy_tornado(模板注入+md5)

最新推荐文章于 2024-07-20 11:47:09 发布
最新推荐文章于 2024-07-20 11:47:09 发布
阅读量648 收藏 2
点赞数
文章标签: web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45784586/article/details/104589198
版权

写在前面

服务端模板注入也是一种注入攻击(简称为SSTL)
这又涉及到了本人的知识盲区
借这个题学习补充一下知识

自己走过的路加wp辅助

信息收集加思路推理

在这里插入图片描述点击一下/welcome.txt
回显 render
而且url处有异常
在这里插入图片描述同理测试其他选项
在这里插入图片描述在这里插入图片描述通过猜测可知filehash的值就是/hint.txt中的算法得到的
从而
我们只要得到cookie_secret的值即可通过脚本的到于/fllllllllllllag对应的filename的值

模板注入拿到cookie_secret

get传参

?filename=/fllllllllllllag&filehash=

回显
在这里插入图片描述发现可疑参数msg
结合上面提示render
进行测试
msg={{1}}
发现有回显,存在漏洞
查找大佬的wp得知(来源,非常感谢大佬)
在tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量
于是访问如下参数
在这里插入图片描述拿到了cookie_secret

小小的脚本

import hashlib

filename = '/fllllllllllllag'
cookie_secret = '7012f546-ae20-45cb-8b05-19bf1e96d0bf'
file_md5 = hashlib.md5(filename.encode(encoding='UTF-8')).hexdigest()

print(hashlib.md5((cookie_secret+file_md5).encode(encoding="UTF-8")).hexdigest())

访问拿到flag
在这里插入图片描述

知识点总结(参考各种大佬的文章,非原创)

1.模板渲染

参考senntyou师傅的文章
前端与后端最初的渲染方式是后端模板渲染,就是由后端使用模板引擎渲染好 html 后,返回给前端,前端再用 js 去操作 dom 或者渲染其他动态的部分。
在这里插入图片描述
前端请求一个地址 url
后端接收到这个请求,然后根据请求信息,从数据库或者其他地方获取相应的数据
使用模板引擎(如 java > jsp、php > smarty)将这些数据渲染成 html
将 html 文本返回给前端

个人觉得就是后端模板引擎对数据的一种处理成html的方式

关于tornado模板的介绍

<html>
   <head>
      <title>{{ title }}</title>
   </head>
   <body>
     <ul>
       {% for item in items %}
         <li>{{ escape(item) }}</li>
       {% end %}
     </ul>
   </body>
 </html>

渲染代码

class MainHandler(tornado.web.RequestHandler):
    def get(self):
        items = ["Item 1", "Item 2", "Item 3"]
        self.render("template.html", title="My title", items=items)

在引擎下, Tornado模板被直接转换为Python. 包含在你模板中的表达式会 逐字的复制到一个代表你模板的Python函数中.

2.SSTl攻击

先推荐一个大佬在黑客大会发的东西
https://www.blackhat.com/docs/us-15/materials/us-15-Kettle-Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf
就引用一下niubl大佬的文章`
以Twig为例

<?php
require_once dirname(__FILE__).'/../lib/Twig/Autoloader.php';
Twig_Autoloader::register(true);
 
$twig = new Twig_Environment(new Twig_Loader_String());
$output = $twig->render("Hello {{name}}", array("name" => $_GET["name"]));  // 将用户输入作为模版变量的值
echo $output;

使用 Twig 模版引擎渲染页面,其中模版含有 {{name}} 变量,其模版变量值来自于 GET 请求参数 $_GET[“name”] 。
但是,如果渲染的模版内容受到用户的控制,情况就不一样了。修改代码为:

<?php
require_once dirname(__FILE__).'/../lib/Twig/Autoloader.php';
Twig_Autoloader::register(true);
 
$twig = new Twig_Environment(new Twig_Loader_String());
$output = $twig->render("Hello {$_GET['name']}");  // 将用户输入作为模版内容的一部分
echo $output;

上面这段代码在构建模版时,拼接了用户输入作为模板的内容,现在如果再向服务端直接传递 JavaScript 代码,用户输入会原样输出
注入攻击的真谛:永远不要相信用户的输入

3 python3的md5()方法使用

在python3的标准库中,已经移除了md5,而关于hash加密算法都放在hashlib这个标准库中,如SHA1、SHA224、SHA256、SHA384、SHA512和MD5算法等
hexdigest()在英语中hex有十六进制的意思,因此该方法是将hash中的数据转换成数据,其中只包含十六进制的数字。

# 或者可以这样(最常见的写法,常用于图片的命名)
>>> hashlib.md5(b'123').hexdigest()
'202cb962ac59075b964b07152d234b70'
 
# 也可以使用hash.new()这个一般方法,hashlib.new(name[, data]),name传入的是哈希加密算法的名称,如md5
>>> hashlib.new('md5', b'123').hexdigest()
'202cb962ac59075b964b07152d234b70'

对中文进行加密时

>>> import hashlib
>>> data = '你好'
>>> hashlib.md5(data.encode(encoding='UTF-8')).hexdigest()
'7eca689f0d3389d9dea66ae112e5cfd7'
moth404
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全 | CTF护网2018easy_tornado解题详析(Tornado之SSTI注入
等风来
08-24 3925
提示:filename先被md5加密后,结合cookie_secret,再次被md5加密姿势进入页面给出三个链接:提示:filename先被md5加密后,结合cookie_secret,再次被md5加密先加密filename:得到:3bf9f6cf685a6dd8defadabfb41先加密filename:可知存在模板注入,而Tornado框架的附属文件handler.settings中存在cookie_secret故get传参:/error?msg={{handler.settings}}得到
【网络安全 | CTF】攻防世界护网 2018 easy_tornado
等风来
07-23 3715
tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。或一个目录是“/Users/python/tornado-file-read/static_private/”,传入某文件的路径为“/Users/python/tornado-file-read/static/”将得到的cookie_secret同加密的内容一同进行加密。
BUUCTF-easy_tornado
wuerror的博客
07-07 3646
这题是2018护网原题的复现。 进去之后显示三个txt,每个点进去看看。内容如下: /flag.txt flag in /fllllllllllllag /welcome.txt render /hints.txt md5(cookie_secret+md5(filename)) 看看url,发现web9.buuoj.cn/file?filename=/flag.txt&fil...
BUUCTF Web easy_tornado
CrotZZ的博客
07-04 275
打开是三个txt链接 初步可断定flag在fllllllllag中,而filehash就是md5加密的数据,cookie_secret是不知道的 Render不知道是什么意思去查了下,render函数用于创建html模板,和template类似,不过render更为简洁。render是题目tornado里面的函数,tornado是基于Web服务框架。 看了下网上其他人,他们根据render是python中的一个渲染函数,渲染变量到模板中,即可以通过传递不同的参数形成不同的页面和现有信息推断出是服务端模块注
BUUCTF——Web_buuctfweb
最新发布
2401_85236365的博客
07-20 930
得到flagflag为:启动靶机,出现以下界面点击tips跳转到flag.php,flag应该就在这个php文件中文件名为flag.php,那么flag应该就存在于此文件中,但是我们f12并没有查看到flag猜测flag应该是在flag.php的源代码当中,我们可以利用php://filter伪协议来查看flag.php的源代码,构造payload: 成功获取到flag.php加密后到源代码内容:解密后得到flag为:启动靶机,出现以下界面尝试输入127.0.0.1后,出现以下界面,可以看到下方是有回显的由
BUUCTF-Webeasy_tornado
RexHa的博客
09-04 557
BUUCTF-Webeasy_tornado
BUUCTF WEB easy_tornado
A_dmin的博客
12-11 528
BUUCTF WEB easy_tornado 拿到题目,打开发现三个文件: 各自查看: 查阅资料得知tornado是一个python的框架,,, 前几天刚刚好做了个python的django的框架学习,,, render好像是个渲染函数,,,, 看见那个hints.txt得知,我们需要知道cookie_secret是什么就能进行文件读取,,, 而且显然url有点特殊!!!文件读取,,,,...
BUUCTF web easy_tornado
H4ppyD0g的博客
09-19 763
网站存在以下三个目录 /flag.txt flag in /fllllllllllllag /welcome.txt render 知识点1: render是python中的一个渲染函数,渲染变量到模板中,即可以通过传递不同的参数形成不同的页面。 /hints.txt md5(cookie_secret+md5(filename)) 随便点进去一个,发现url变为?filename=/hin...
buuojweb刷题wp详解知识整理—-【护网easy_tornado模板注入+md5
01-20
服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 点击一下/welcome.txt 回显 render 而且url处有异常 同理测试其他...
[护网 2018]easy_tornado(SSTI服务器端模板注入)
weixin_45253573的博客
11-12 676
tornado Tornado是一种 Web 服务器软件的开源版本。Tornado 和主流Web 服务器框架(包括大多数 Python 的框架)有着明显的区别:它是非阻塞式服务器,而且速度相当快。 可以考虑服务器端模板注入 参考SSTI完全学习 SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行,SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架,比如Python的jinja2 mako tornado django,php的smarty
[护网 2018]easy_tornado
No Title
12-21 199
知识点: python模板注入: 就是指将一串指令代替变量传入模板中让它执行 ,例如我们在传入参数 值时,可以用 {{}} 符号来包裹一系列代码,以此替代本应是参数的 id,得到的效果就是http://..../?id={{代码}}。 tornado框架:python较主流的web框架 访问首页显示有三个txt文档,请求链接形式如下所示,参数由filename和filehash组成。 file?filename=/hints.txt&filehash=46680cce237a8a9784ec429
BUUCTF--Web--[护网 2018]easy_tornado
weixin_44866139的博客
05-07 471
发现每个url后面都有一个filehash hints.txt中提示md5(cookie_secret+md5(filename)) 而flag.txt中提示flag in /fllllllllllllag 猜测flag就在fllllllllllllag文件中,关键找出cookie_secret 这里用到render()函数 ...
BUUctfweb:[BJDCTF2020]Easy MD5
羽的博客
07-12 320
搞得像个SQL注入一样,忍不住'#了一下。 后面就不太找得到突破点了。 看来下WP结果意想不到。 Hint: select * from 'admin' where password=md5($pass,true) 响应头里面有个这个。 查查md5函数 md5函数在指定了true的时候,是返回的原始 16 字符二进制格式。可能会返回这样子的字符串:'or’6\xc9]\x99\xe9!r,\xf9\xedb\x1和SQL语句拼接就可以是: select * from ‘a...
BUUCTF-WebEasy MD5
RexHa的博客
09-04 1314
BUUCTF-WebEasy MD5 解题
buuctf web easy md5
qq_41696858的博客
09-11 262
先贴一个md5 sql注入万能密码的链接,感觉这篇写的比较清楚 https://blog.csdn.net/March97/article/details/81222922 简单来说,就是指定raw参数的情况下,md5函数返回的不是我们记忆中的32位16进制数 而是16位原始二进制格式的字符串,而且形如 'or’6\xc9]\x99\xe9!r,\xf9\xedb\x1c 这样的形式 32位的16进制的字符串,两个一组就是上面的16位二进制的字符串 那么就直接用他给的万能密码ffifdyop,后面那个有#用
BUUCTF - Web - Easy MD5
1tachi的博客
11-27 1651
题目就是一个很普通的表单,F12也看不到什么 随便填个数据抓包看一下 select * from 'admin' where password=md5($pass,true) 看来突破点是md5($pass, true) md5($pass)的意思是计算$pass的MD5的值并返回十六进制格式,如果设置为true,将以二进制的形式返回,这里存在一个漏洞 当$pass = ffifdyop的时候,md5($pass,true) => 'or'6xxxxx <?php $a = 'ffifd
BUUCTF平台-web-(WarmUp+easy_tornado+随便注)记录-day1
weixin_30765475的博客
07-24 276
1.WarmUp 思路很清晰,文件包含,漏洞点在代码会二次解码,只需注入一个?就可以使用../../进行路径穿越,然后去包含flag,flag路径在hint.php里面有 2.easy_tornado 题目就给了这些信息,flag路径已知,render应该是跟模板注入相关,hint.txt给的应该是filehash的算法, 看看url,我们可以控制文件名和文件hash ...
BUUCTF:[BJDCTF2020]Easy MD5
末初的CSDN博客
11-04 354
题目地址:https://buuoj.cn/challenges#[BJDCTF2020]Easy%20MD5 /leveldo4.php 查询,注入MD5,联想到那个神奇的字符串ffifdyop ffifdyop PS C:\Users\Administrator> php -r "var_dump(md5('ffifdyop'));" string(32) "276f722736c95d99e921722cf9ed621c" PS C:\Users\Administrator>.
buuctfweb刷题wp详解知识整理----[BJDCTF2020]Easy MD5
weixin_45784586的博客
05-14 310
写在前面 这题设计到一个我不知道的知识,记录一下 所查大佬的博客连接: https://blog.csdn.net/March97/article/details/81222922 https://www.cnblogs.com/h3zh1/p/12656446.html 尝试之路加wp 卡在第一步emmmm 应该输入一个万能密码尝试过爆破无果 大佬们的输入是 ffifdyop 然后进入第二层 很常规 数组或者0e碰撞 进入第三层 数组绕过 知识点0x01----md5($password,true)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值