[护网杯 2018]easy_tornado

最新推荐文章于 2023-11-12 14:41:17 发布
最新推荐文章于 2023-11-12 14:41:17 发布
阅读量363 收藏 2
点赞数 1
分类专栏: CTF系列问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yzl_007/article/details/113934362
版权
tornado模板注入

tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。

在tornado模板中,存在一些可以访问的快速对象,例如:

<title>
     {{ escape(handler.settings["cookie"]) }}
 </title>

在Tornado的auth.py

从第360行起有

  request_cookie = handler.get_cookie("_oauth_request_token")
    if not request_cookie:
        raise AuthError("Missing OAuth request token cookie")
    handler.clear_cookie("_oauth_request_token")
    cookie_key, cookie_secret = [
        base64.b64decode(escape.utf8(i)) for i in request_cookie.split("|")
    ]
    if cookie_key != request_key:
        raise AuthError("Request token does not match cookie")
    token = dict(
        key=cookie_key, secret=cookie_secret
    )  # type: Dict[str, Union[str, bytes]]

关键在这个handler

查一下handler的属性,发现了settings

def _oauth_consumer_token(self) -> Dict[str, Any]:
    handler = cast(RequestHandler, self)
    handler.require_setting("twitter_consumer_key", "Twitter OAuth")
    handler.require_setting("twitter_consumer_secret", "Twitter OAuth")
    return dict(
        key=handler.settings["twitter_consumer_key"],
        secret=handler.settings["twitter_consumer_secret"],
    )

看到题目给到了如下一些信息

/flag.txt
flag in /fllllllllllllag

/welcome.txt
render

/hints.txt
md5(cookie_secret+md5(filename))

url形如 :http://35848a5d-982a-45c9-a772-1b59e317746f.node3.buuoj.cn/file?filename=/flag.txt&filehash=32c8987c242bb2c5f0b0da175550dab6

根据提示应该payload应该是file?filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(filename)),因此现在需要找到cookie_secret

将filename替换为/fllllllllllllag 后发现报错,修改/error?msg=Error错误信息中的msg页面也跟着变

在这里插入图片描述

根据render提示应该是模板注入,但存在过滤,ORZ

在这里插入图片描述

这里用到的是handler.setting对象

handler 指向RequestHandler
而RequestHandler.settings又指向self.application.settings
所有handler.settings就指向RequestHandler.application.settings

传递error?msg={{ handler.settings }}得到:
在这里插入图片描述

得到secret后,就是计算访问flag文件的hash,获取flag

import hashlib

filename = '/fllllllllllllag'
cookie_secret = '22fd2739-48f9-4346-a61a-800901929cbc'
file_md5 = hashlib.md5(filename).hexdigest()
print file_md5
print hashlib.md5(cookie_secret+file_md5).hexdigest()

解出hash值,
在这里插入图片描述

在这里插入图片描述

得到flag{f64bfa36-9e57-4653-90d8-e4757daf7216}

yyyyzzzllll
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuojweb刷题wp详解及知识整理—-【护网easy_tornado(模板注入+md5)
01-20
写在前面 服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 点击一下/welcome.txt 回显 render 而且url处有异常 同理测试其他选项 通过猜测可知filehash的值就是/hint.txt中的算法得到的 从而 我们只要得到cookie_secret的值即可通过脚本的到于/fllllllllllllag对应的filename的值 模板注入拿到cookie_secret get传参 ?filename=/fllllllllllllag&filehash= 回显 发现可疑参数msg
web buuctf [护网 2018]easy_tornado1
weixin_44214568的博客
03-12 4434
分解信息量: 1.题目名称是easy-tornadotornado是python的web框架(web框架的产生是避免程序代码与html编码的编码混乱性,框架将传参过程进行独立) 2.打开一共三个链接,分别点开 /flag.txt 提示内容:flag in /fllllllllllllag ,意思就是flag在文件fllllllllllllag里面,需要考虑怎么进入文件里面 /welcome.txt 提示内容:render,render是tornado里面的渲染函数,就是对web网页界面进行编辑的函
[护网 2018]easy_tornado 1(两种解法!)
最新发布
m0_73734159的博客
11-12 1960
tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量。猜测解题关键点在md5(cookie_secret+md5(filename))这里。改哈希值看看是否有变化。
[护网 2018]easy_tornado WriteUp(超级详细!)
lunan的博客
04-22 3296
[护网 2018]easy_tornado   打开题目后,首先发现3个超链接   依次点开三个链接    网址里有参数filename和filehash推测这里flag应该是 filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(filename))里面,filehash里hash就是提示为md5的hash加密。    变量 filename 的值总是为要访问的文件,再根据提示三和 fil
[护网 2018]easy_tornado 1
weixin_45674567的博客
06-01 2863
点击/flag.txt,说明flag在 /fllllllllllllag 里。 点击/welcome.txt,render()函数是渲染函数,进行服务器端渲染。 点击/hints.txt,出现: reader()函数联想到模板注入:±*/等符号,都被过滤,^没被过滤,成功回显 根据: 搜素百度得Tornado框架的附属文件handler.settings中存在cookie_secret 尝试:error?msg={{handler.settings}} 得到 结合之前访问/flag.txt、/we..
2018护网逆向题目
10-16
2018护网逆向题目是针对这一领域的专业挑战,旨在检验参赛者在逆向工程方面的技能和知识。这三道题目——task_Loader7.exe、task_APM233_6.exe和task_huwang-refinal-6.exe,很可能是精心设计的恶意软件或复杂程序...
2020全国工业互联网安全技术技能大赛-护网-chinaiisc2020.zip
10-24
2020全国工业互联网安全技术技能大赛,原来的护网,比赛的原题以及附件,供大家进行学习和交流。祝大家技术进步!
网鼎writeup-护网先锋1
08-04
3、得到 flag,截图如下图所示: 1、查看源代码可以发现存在代码泄露,代码如下: 2、在 get 中使用.可以绕过第一个判断 3、使用.@c7f.zhuqu
2020全国工业互联网安全技术技能大赛-护网原题及附件-chinaiisc2020
01-11
2020全国工业互联网安全技术技能大赛,原来的护网,比赛的原题以及附件,供大家进行学习和交流。祝大家技术进步!
护网 2018easy_tornado
Lixunzhe0112的博客
01-17 561
常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞。错误的执行了用户输入。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对python、php、java的一些网站处理框架,比如Python的jinja2mako tornado django,php的smarty twig,java的jadevelocity。
[护网 2018]easy_tornado1 write up
Teemos的博客
05-31 415
[护网 2018]easy_tornado1 write up 本题所需知识点:SSTI、文件包含 1 题解 点开题目,发现有3个链接 分别点开三个链接 file?filename=/flag.txt&filehash=5cb650c67b3f3eb1c3382db985cba60d file?/filename=/welcome.txt&filehash=453823f83be22fbffa0f5ba9f7e7e8ba file?filename=/hints.txt&fi
[护网 2018]easy_tornado1
陈艺秋的博客
07-24 382
普通的cookie并不安全,可以通过客户端修改在Tornado框架中,cookie_secret是一个密钥,一般使用随机生成的字符串,被用于对生成的cookie进行加密。它的作用是确保cookie的安全性,防止被修改或伪造。具体来说,当Tornado应用程序使用set_secure_cookie()函数设置cookie时,会使用cookie_secret对cookie进行加密。而在获取cookie时,Tornado则会使用同样的密钥进行解密,并验证cookie是否被篡改。
【网络安全 | CTF】护网2018easy_tornado解题详析(Tornado之SSTI注入)
等风来
08-24 3857
提示:filename先被md5加密后,结合cookie_secret,再次被md5加密姿势进入页面给出三个链接:提示:filename先被md5加密后,结合cookie_secret,再次被md5加密先加密filename:得到:3bf9f6cf685a6dd8defadabfb41先加密filename:可知存在模板注入,而Tornado框架的附属文件handler.settings中存在cookie_secret故get传参:/error?msg={{handler.settings}}得到
BUUCTF[护网 2018]easy_tornado1-write up
m0_62851980的博客
04-23 892
知识点: SSTI(模板注入),render函数,Tornado框架(知识点在最后) 打开靶机,看到三个链接: 分别点进去: 注意每个链接的url: /file?filename=/xxx&filehash=32位MD5 根据flag.txt和hint.txt提示url的形式为:文件名+32位MD5 再看hint.txt的提示:md5(cookie_secret+md5(filename))。明显我们要先找到cookie_secret进行MD5加密,再和进行MD5加密后输入的文
Tornado
weixin_33976072的博客
11-04 162
2019独角兽企业重金招聘Python工程师标准>>> ...
easy_tornado复现
AsagiRiAsagi的博客
01-03 809
Easy_tornado分析 问题与解答 cookie_secret是什么? 答:根据Tornado官方文档的解释:这是settings中关于认证和安全方面的一个配置参数。 settings又是什么? 答:是一个python字典。通常用作于application的配置项。 application是什么? 答:这个问题会比较难直接回答。这需要先理解一个tornado web应用是如何工作的。 我们先看Tornado官方给的一个Hello World程序的例子: import tornado.iol

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值