攻防世界-web-easytornado

最新推荐文章于 2024-07-20 17:49:22 发布
最新推荐文章于 2024-07-20 17:49:22 发布
阅读量1.5k 收藏 3
点赞数 2
分类专栏: 安全 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuh2333/article/details/131748076
版权

题目描述:Tornado 框架。打开链接是一个简单的界面

1. 思路分析

看到有个/flag.txt,我们点击进去看下

发现传入了两个参数,一个是filename,还有一个是filehash

看到里面的内容,提示我们真正的flag在 /fllllllllllllag中

因此,读取到 /fllllllllllllag就可以获取到真正的flag了,但是我们现在只知道文件名,并不知道对应的hash值,那么无法简单的通过请求进行处理

如何获取对应文件的hash值呢,看下其它两个文件

 这里面提到的渲染还有计算hash值的方法,这里要如何利用呢?

由于对Tornado 框架了解较少,因此这里还是参考了网上资料才知道了漏洞原理。如果对该框架有一定了解的同学在看到上面的线索后应该很容易就能解出来了。该漏洞原理涉及到Tornado 框架本身 :

Tornado render是python中的一个渲染函数,也就是一种模板,如果用户对渲染的内容可控的话,那么可以通过render执行相应的代码,该框架中存在一些重要的配置对象可以被快速访问到,比如:handler.settings(参考:python SSTI tornado render模板注入_render tornado_multi4的博客-CSDN博客

ok。到了这里,题目就比较清晰了:

1.1 通过模板注入获取到关键信息cookie_secret

1.2 算出文件的hash值

1.3 获取文件内容

2. 解题过程

2.1 利用模板注入获取到cookie_secret

http://61.147.171.105:49529/error?msg={{handler.settings}}

我们获取到cookie_secret为64a44808-f4db-408c-8d56-b2b6adf380fa

2.2 计算 /fllllllllllllag 的文件hash值(这里计算的时候要用echo -n) 

2.3 计算出文件hash值之后,然后传入filename和filehash获取文件内容即可

获取到flag为flag{3f39aea39db345769397ae895edb9c70}

总结: 这道题提示很清晰,但是需要一定的背景知识,关键点在于利用Tornado 框架进行模板注入获取关键信息cookie_secret,获取到之后就很容易解出来了

wuh2333
关注
专栏目录
攻防世界】十六 --- easytornado --- python Tornado框架
qq_43168364的博客
12-28 385
题目 — easytornado 一、writeup 主页有三个文件 分别访问以下可以看到他们的URL格式如下图所示 都是文件名带一个filehash的格式,那就可以猜测访问flag文件的url格式应该就是:/file?filename=/flag的文件名&filehash=xxx。接下来依次看这几个文件的内容。/flag.txt文件 提示flag在:/fllllllllllllag中,我们的URL格式又进一步确定了:/file?filename=/fllllllllllllag&fi
攻防世界-web高手进阶区
zji
04-25 6576
文章目录攻防世界-web高手进阶区一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶区 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
攻防世界easytornado
wangzhemvp的博客
04-05 358
可以把它理解为 tornado 模板中内置的环境配置信息名称,通过handler.settings 可以访问到环境配置的一些信息。看到 tornado 模板基本上就用 handler.settings。{{ }}有回显,一般存在模版注入。得到cookie_secret。模版注入 + tornado模板。
[护网杯 2018]easy_tornado1
最新发布
weixin_63920195的博客
07-20 653
当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架,比如Python的jinja2 mako tornado django,php的smarty twig,java的jadevelocity。当这些框架对运用渲染函数生成html的时候会出现SSTI的问题。所有handler.settings就指向RequestHandler.application.settings了。SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。
攻防世界easytornado
qq_46230755的博客
01-07 526
题目点开存在三个文件 /flag.txt提醒我们flag存在的位置flag in /fllllllllllllag /welcome.txt提醒render,render({options}) 猜测存在模板注入 /hints.txt提醒md5(cookie_secret+md5(filename)) 即先将filenamemd5加密,再将cookie_secret与md5加密后的filename进行md5加密,目前我们需要知道的是filename和cookie_secret,猜测文件名为/flllllll
攻防世界 easytornado
weixin_63640108的博客
06-06 344
tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量。filehash通过md5(cookie_secret+md5(filename))获得。
攻防世界Webeasytornado
Light_inthe_eyes的博客
10-16 270
进入页面后,发现有三个可点击的链接: 点进去看看,分析flag是在fllllllllllllag中的,render是一个渲染函数(可以猜测这里存在模板注入),md5(cookie_secret+md5(filename))的值应该是我们最终需要得到的,并且发现点击每一个链接后,url里都有filehash参数,也就是说我们需要拿到cookie_secret的值,来计算出fllllllllllllag的filehash值: /flag.txt: flag in /fllllllllllllag /welc
攻防世界 web进阶 easytornado 【模板注入】
Hrain7的博客
11-24 725
分别点开三个文件 /flag.txt 由此可知,flag在 /fllllllllllllag 里面 /welcome.txt 发现render函数,百度一下,render是一个渲染函数,渲染变量到模板中,模板嘿嘿嘿,猜想可能存在模板注入吧,我所知道就这些请见谅。。。。 render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页 render配合Tornado使用。 /hints.txt md5(cookie_secret+md5(...
攻防世界 easytornado 解题思路
xj28555的博客
07-14 1665
进入题目 有三个txt目录,我们分别点击。 第一个/flag.txt 他说flag 在/fllllllllllllag里面,那我们访问一下看看 回车后发现 报了一个error,且在浏览器上有回显,那判断这里是否存在模板注入呢,我们可以试一试,把error换成123看浏览器是否还存在回显。 还是有回显,初步证明这里是存在模板注入的。但是知道有模板注入没有更多的信息了,所以我们只好先放这里了。继续看其他目录。 第二个/welcome.txt 第二个是一个render,这个
攻防世界-easytornado
Mirror_iu的博客
01-22 177
闲着无聊在攻防世界刷点 Web 题,刚好我也快刷完了。这些零碎的刷题又不想开博客记录,但是每周复现还是要看看,所以就来 csdn记录吧
攻防世界easytornado-tornado模板注入
yuanxu8877的博客
11-28 393
攻防世界easytornado-tornado模板注入
攻防世界】十五、easytornado
Hi~ 土拨鼠
09-17 235
步骤 打开所给场景,发现给出了三个文件: 依次进行访问: flag.txt welcome.txt hints.txt 获得的信息:url是统一的,只有传递的参数在变化,flag在/fllllllllllllag中,也就是filename=/fllllllllllllag,filehash也给出了我们计算方法,render是python中一个渲染函数,渲染变量到模板中,即可以通过传递不同的参数形成不同的页面 所以现在我们只有拿到cookie_secret就行了 尝试访问(filehash暂时不知道.
攻防世界easy_web
qq_63928796的博客
07-22 1097
function需要自己寻找正在上传…重新上传取消︷︷().
攻防世界--easy_web
qq_44418229的博客
07-25 2125
SSTI---利用特殊字符进行绕过;对SSTI的补充
攻防世界-web easytornado
m0_48108919的博客
02-11 726
题目描述:Tornado 框架 显示有3 个文件 1.访问flag.txt文件提示flag在fllllllllllllag文件中 2.访问welcome.txt文件,提示render render是一个Tomado框架的一个渲染函数,即可以通过传递不同的参数形成不同的页面,可能存在模板注入漏洞 3.访问hints.txt文件,看到有个md5加密方法,再看请求的url发现每个url都带有filehash,应该就是filehash的加密公式 根据url特征需要提供filename及.
easytornado-攻防世界
szhangliwenya的博客
04-07 653
handler指向处理当前这个页面的RequestHandler对象, RequestHandler.setting指向self.application.settings,因此构造payload。tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入。查询到可以使用{{handler.settings}}获取服务器的配置文件信息。代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。
攻防世界-baby_web详解
12-21
根据提供的引用内容,攻防世界-baby_web是一个需要进行攻击和防御的网络应用。根据引用和引用[2]的描述,可以看出该应用存在注入漏洞,并且使用了一些安全措施来防止攻击者利用这些漏洞。攻击者可以通过注入恶意代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值