【网络安全 | CTF】攻防世界护网杯 2018 easy_tornado

已于 2024-10-18 13:50:07 修改
阅读量5.6k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF新手入门实战教程 文章标签: tornado 网络安全 CTF
于 2023-07-23 09:46:27 首次发布
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/131741096
本文介绍了Tornado框架的一个文件读取漏洞,通过os.path.abspath函数的处理,可以读取到不在指定目录下的文件。在攻防世界护网杯2018的CTF挑战中,利用此漏洞结合md5加密和cookie_secret,通过错误消息的msg漏洞及tornado的render功能执行命令,最终获取flag。

文章目录

Tornado

题目描述:tornado框架

Tornado全称Tornado Web Server,是一个用Python语言写成的Web服务器兼Web应用框架

简单说一下其框架漏洞的利用:

传入某文件的路径为“/Users/python/tornado-file-read/static/”

经过python中os.path.abspath函数处理

变成了“/Users/python/tornado-file-read/static”

所以:

如果有一个文件是“/Users/python/tornado-file-read/static.db”,

或一个目录是“/Users/python/tornado-file-read/static_private/”,

它们均以“/Users/python/tornado-file-read/static”开头

虽然这些文件并不在static这个目录下,但我们仍然可以通过/Users/python/tornado-file-read/static读取到它们

综上所述,os.path.abspath函数会造成一个文件读取漏洞,使我们读取到了本不应该被读取的某些文件。

接着我们看题目:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
网络安全 | CTF2018easy_tornado解题详析(Tornado之SSTI注入)
等风来
08-24 5995
提示:filename先被md5加密后,结合cookie_secret,再次被md5加密姿势进入页面给出三个链接:提示:filename先被md5加密后,结合cookie_secret,再次被md5加密先加密filename:得到:3bf9f6cf685a6dd8defadabfb41先加密filename:可知存在模板注入,而Tornado框架的附属文件handler.settings中存在cookie_secret故get传参:/error?msg={{handler.settings}}得到
网络安全 | CTF攻防世界 very_easy_sql 解题详析(gopher协议+ssrf漏洞sql注入+盲注脚本)
热门推荐
等风来
08-01 1万+
登录处直接注入会提示you are not an inner user, so we can not let you have identify~查看源代码发现use.php,访问后猜测该题为基于ssrf漏洞的sql注入:因此我们可构造含有gopher协议的盲注脚本,通过对use.php界面发送请求来获取flag。具体实现的方法是通过构造不同的poc来进行注入攻击,并利用时间延迟判断是否成功注入。
Tornado及Bottle 漏洞合集
小小猪的博客
08-20 1999
Tornado 漏洞 Tornado 文件读取漏洞 搭建好环境之后,这时候我们就可以直接请求到/static/01.txt这样的静态文件了: 正常情况下,我们是不能够请求到这个目录以外的文件的,如/etc/passwd: 如上图,tornado对请求的路径进行了一定判断,抛出了这个错误。然后我们去他源码中看看是怎么判断的: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 .
攻防世界-easytornado
m0_49025459的博客
12-22 1354
简单来说,就是站内容的动态部分,如果有一个站的内容几乎相同,但只有某些部分发生改变,那么他们很有可能使用了模板模板看起来如下:hello{user.name} 他们有一个静态罐和一个动态罐,hello为静态罐,{}里的内容为动态罐这就是为什么编译器如何是知道该部分是动态的,另外需要注意的是,并非是所有模板看起来都是像上面那样,列如:hello{{user.name}}这是一个名为jinja。
攻防世界easytornado
最新发布
jianjiafengwuyi的博客
10-19 354
摘要:通过分析三个txt文件,发现访问文件的URL格式为/?file?filename=文件名&filehash=MD5(cookie_secret+MD5(filename))。利用tornado模块注入获取cookie_secret后,拼接计算得到/fllllllllllllag的filehash值b00746ec3297ec34fe6821266f3e9966,最终构造完整URL成功获取flag{3f39aea39db345769397ae895edb9c70}。整个过程涉及MD5加密计算和t
tornado框架漏洞 攻防世界easytornado
一醉一休的博客
02-23 2743
#Tornado全称Tornado Web Server,是一个用Python语言写成的Web服务器兼Web应用框架 #tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。 一、easytornado 1)点开链接 2)逐个点开(render函数是渲染函数) 3)要找出filehash值,...
[ 2018]easy_tornado
m0_52299173的博客
07-11 259
打开,发现三个链接 http://38056f41-2d88-4283-9620-f4aa44ce35ab.node4.buuoj.cn:81/file?filename=/flag.txt&filehash=5fc2d08c9600e850d698784ede30ba8c 发现两个参数filename和filehash 传参,报错 http://38056f41-2d88-4283-9620-f4aa44ce35ab.node4.buuoj.cn:81/error?msg=Error 但发现msg可以
BUUCTF---web---[ 2018]easy_tornado1
2201_75556700的博客
03-13 1107
3.通过第一个信息可知,flag在文件名为/fllllllllllllag这个里面,第二个信息中的render是渲染函数,第三个个信息中是一个md5加解密,因为filename我们已经知道,所以我们需要找到cookie_secret的值。8.在这三个信息中我们唯一不知道的就是cookie_secert的值,tornado中msg该传什么值才能得到cookie_secert的值,是我们接下来要做的事情,查阅文档之后。6.需要利用msg的值进行传参,在tornado官方文档中提到。2.依次点开文件链接。
CTF】buuctf web(二)——[ 2018]easy_tornado
m0_52923241的博客
08-01 1057
[ 2018]easy_tornado 首先出来三个链接 查看flag.txt 提示flag在/fllllllllllllag中 OK,知道了第一个条件,filename=/fllllllllllllag 查看welcome.txt 查看hints.txt 分析一下 这里有两个参数,第一个参数filename,文件的名称,我们通过查看flag.txt文件知道,藏flag的文件名为fllllllllllllag;第二个参数filehash,翻译一下:文件哈希,也就是加密了 加密方法在第三个文件中md
2018easy_tornado
Lixunzhe0112的博客
01-17 820
常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞。错误的执行了用户输入。当然还是和sql注入有所不同的,SSTI利用的是现在的站模板引擎(下面会提到),主要针对python、php、java的一些站处理框架,比如Python的jinja2mako tornado django,php的smarty twig,java的jadevelocity。
CTF-BUUCTF-Web-[ 2018]easy_tornado
qq_42404383的博客
12-29 1434
CTF-BUUCTF-Web-[ 2018]easy_tornado 看题: 解题: 1、flag --> 在文件 fllllllllllllag中 2、render()函数渲染 --> 用到SSTI 尝试输入/error?msg={{1}},确实是存在模板注入 3、cookie_secret 4、解题 cookie_secret --> ‘43998eab-59...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值