[BUUCTF] easy_tornado (writeup)

已于 2023-06-17 22:03:01 修改
阅读量244 收藏 1
点赞数
分类专栏: buuctf--web 文章标签: tornado python 网络安全
于 2023-06-10 15:13:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63306244/article/details/131141924
版权

进入靶机后发现了三个文件,分别是

flag.txt  welcome.txt  hints.txt

flag.txt

welcome.txt

hints.txt

根据 flag.txt 和 hints.txt 的提示我们得出flag在/fllllllllllllag里面

但是我们直接访问/fllllllllllllag是访问不通的,会报错

也得出一个结论还需要得到filehash的值

但是观察url和这个回显界面会发现有问题

试试ssti注入

在msg后面输入{{7*7}} 

回显了orz,回想welcome.txt 有提示render

tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。 

在tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量 

由此得到payload为

/error?msg={{handler.settings}}

 有了cookie_secret后根据hints.txt

得到了filehash

/fllllllllllllag md5加密后为 3bf9f6cf685a6dd8defadabfb41a03a1

57eebaf9-2fbb-43c8-a065-bf7f0f3b83c757eebaf9-2fbb-43c8-a065-bf7f0f3b83c7  md5加密后为    cc2dadd5a9a7ad5346f07b2782553b62

/file?filename=/fllllllllllllag&filehash=cc2dadd5a9a7ad5346f07b2782553b62

xiao孩
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF-easy_tornado
wuerror的博客
07-07 3624
这题是2018护网杯原题的复现。 进去之后显示三个txt,每个点进去看看。内容如下: /flag.txt flag in /fllllllllllllag /welcome.txt render /hints.txt md5(cookie_secret+md5(filename)) 看看url,发现web9.buuoj.cn/file?filename=/flag.txt&fil...
buuojweb刷题wp详解及知识整理—-【护网杯】easy_tornado(模板注入+md5)
01-20
写在前面 服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 ...回显 render 而且url处有异常 同理测试其他选项 ...
BUUCTF---easy-tornado
weixin_44255856的博客
07-29 1657
打开链接发现存在3个txt文件 依次访问 flag.txt直接说明了,最终的flag在/fllllllllllllag文件下 hints.txt下提示是filehash,要是md5(cookie_secret+md5(filename))才可以结合/fllllllllllllag找到flag. 但是cookie_secret不知道 提示render. 谷歌发现render是python的一...
BUUCTF [护网杯 2018] easy_tornado1
最新发布
m0_74167420的博客
06-18 289
Handler指向的处理当前这个页面的RequestHandler对象,handler是RequestHandler的别名,而上面又提到RequestHandler.settings是self.application.settings的别名。2、render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,即可进行SSTI模板注入或者XSS注入。(4)访问出错后出现如下界面,输入{{1}},测试得出存在SSTI模板注入漏洞。
BUUCTFeasy_tornado
qq_40646572的博客
05-15 898
打开题目网站,发现存在三个文件,都打开看了下,在hint.txt文件中发现提示。 在flag.txt文件中也有提示flag在/fllllllllllllag文件中。 整理下思路,这道题其实关键点在于hint.txt文件中的cookie_secret值。 但考虑到题目名中包含tornado这个关键词,百度下发现这是一个python的web框架,搜索下是否存在可以读取配置文件的漏洞,发现这个框架存在可以读取配置文件的漏洞。 想到还有一个welcome.txt文件,上面提示到render,渲染。想到ss..
buuctf easy-tornado
ANYOUZHEN的博客
05-26 485
打开后,flag.txt直接说明了,最终的flag在/fllllllllllllag文件下 hints.txt下提示是filehash,要是md5(cookie_secret+md5(filename))才可以结合/fllllllllllllag找到flag 发现他们的url都是由filename和filehash组成。filehash是他们filename的md5值。 当filename或filehash不匹配时,将会跳转到http://web9.buuoj.cn/error?msg=Error ..
BUUCTF Web easy_tornado
CrotZZ的博客
07-04 264
打开是三个txt链接 初步可断定flag在fllllllllag中,而filehash就是md5加密的数据,cookie_secret是不知道的 Render不知道是什么意思去查了下,render函数用于创建html模板,和template类似,不过render更为简洁。render是题目tornado里面的函数,tornado是基于Web服务框架。 看了下网上其他人,他们根据render是python中的一个渲染函数,渲染变量到模板中,即可以通过传递不同的参数形成不同的页面和现有信息推断出是服务端模块注
install_tornado2_2.rar_tornado_tornado2.2_tornado安装_vxworks_vxwo
09-23
Tornado 框架简介】 Tornado 是一个开源的 Python Web 服务器和网络库,最初由 FriendFeed 团队开发,后来被 Facebook 收购并贡献给了社区。Tornado 以其非阻塞 I/O 和异步处理能力而闻名,这使得它在处理大量...
systemTime.zip_tornado_vxworks 函数
09-24
`systemTime.zip_tornado_vxworks` 提供了关于如何在VxWorks下使用tornado集成开发环境来管理系统时钟的函数。本文将详细讲解其中涉及的关键知识点。 首先,`systemTime.c` 文件通常包含具体的实现代码,这些代码是...
VxWork-And-Tornado.rar_Tornado vxwork_tornado_tornado and vxwork
09-19
Tornado是与VxWorks配套的集成开发环境(IDE),它提供了全面的开发、调试和测试工具,使得开发者能够便捷地进行VxWorks应用程序的编写、构建、调试和维护。Tornado包括项目管理器、源代码编辑器、编译器、链接器、...
wind_media_library_3_0_3.rar_tornado 2.2_tornado 2.2.1_tornado i
09-23
WIND MEDIA LIBRARY 3.0.3 (CP3) for Tornado 2.2.0 and Tornado 2.2.1 Up-to-date product bulletins, information on known problems and fixes/changes made in this release, and essential reference ...
BUUCTF WEB easy_tornado
A_dmin的博客
12-11 521
BUUCTF WEB easy_tornado 拿到题目,打开发现三个文件: 各自查看: 查阅资料得知tornado是一个python的框架,,, 前几天刚刚好做了个python的django的框架学习,,, render好像是个渲染函数,,,, 看见那个hints.txt得知,我们需要知道cookie_secret是什么就能进行文件读取,,, 而且显然url有点特殊!!!文件读取,,,,...
【web | CTF】BUUCTF [护网杯 2018] easy_tornado
weixin_46301214的博客
02-15 925
来看看题目,再问问文心一言,巴拉巴拉一大堆,就是说Tornado框架中模板语法和一个配置参数,我们能通过模板语法把配置文件的参数打印出来,就能得到cookie_secret了。套上模板语法就可以玩了,具体啥原理我也不太知道,这种老框架估计做完这题就不需要用了。简单阅读后会发现,这里存在文件包含漏洞,可以直接读取文件,但是有一个哈希值校验。天命:这题是框架性的漏洞,Python的web服务器框架,应该已经比较古老了。哈哈哈,我想太多了,没这么高科技,只是文件名的MD5值罢了。接着继续,只要你输错哈希值。
BUUCTF__[护网杯 2018]easy_tornado_题解
风过江南乱的博客
05-08 812
1
web buuctf [护网杯 2018]easy_tornado1
weixin_44214568的博客
03-12 4448
分解信息量: 1.题目名称是easy-tornadotornadopython的web框架(web框架的产生是避免程序代码与html编码的编码混乱性,框架将传参过程进行独立) 2.打开一共三个链接,分别点开 /flag.txt 提示内容:flag in /fllllllllllllag ,意思就是flag在文件fllllllllllllag里面,需要考虑怎么进入文件里面 /welcome.txt 提示内容:render,render是tornado里面的渲染函数,就是对web网页界面进行编辑的函
BUUCTF easy_tornado WP
小白渣的博客
12-19 491
首先看到题目 分别点开 /flag.txt /welcome.txt /hints.txt 发现flag在/fllllllllllllag文件里 render是python中的一个渲染函数,渲染变量到模板中,即可以通过传递不同的参数形成不同的页面。 filehash=md5(cookie_secret+md5(filename)) 现在filename=/fllllllllllllag,只...
buuctf easytornado
qq_74020399的博客
04-22 122
指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量。在tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler。得到cookie_secret值为 093f86c7-dcc5-4301-902c-527f91f46844。
CTF-BUUCTF-Web-[护网杯 2018]easy_tornado
qq_42404383的博客
12-29 1353
CTF-BUUCTF-Web-[护网杯 2018]easy_tornado 看题: 解题: 1、flag --> 在文件 fllllllllllllag中 2、render()函数渲染 --> 用到SSTI 尝试输入/error?msg={{1}},确实是存在模板注入 3、cookie_secret 4、解题 cookie_secret --> ‘43998eab-59...
[护网杯 2018]easy_tornado
03-16
护网杯 2018 中的 easy_tornado 题目是一道Web安全题目。根据题目描述,该网站使用了 Tornado 框架搭建,并且存在一个可以进行任意代码执行的漏洞。需要我们利用这个漏洞,在服务器上执行指定的命令。 解决这道题目的关键在于找到代码执行的漏洞点。在代码中,我们可以看到使用了 Python 的 eval() 函数,而这个函数可以执行任意的 Python 代码。我们可以通过构造一个恶意的字符串,然后将其传递给 eval() 函数,从而实现任意代码执行。 具体来说,我们可以构造一个 HTTP 请求,其中包含以下数据: { "action": "__import__('os').system('command')" } 其中 command 为需要执行的命令。这个数据会被传递到服务器端,并被 eval() 函数执行。由于没有对输入数据进行过滤,我们可以通过这个漏洞,在服务器上执行任意的命令。 需要注意的是,由于 Python 的语法比较严格,我们需要在构造恶意字符串时,确保其语法是正确的。可以使用 Python 的反斜杠(\)来转义引号和其他特殊字符,以确保字符串的语法是正确的。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值