【网络安全 | CTF】护网杯2018easy_tornado解题详析(Tornado之SSTI注入)

已于 2024-05-31 10:03:30 修改
阅读量5.9k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: CTF新手入门实战教程 文章标签: web安全 tornado 模板注入 SSTI
于 2023-08-24 17:56:20 首次发布
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/132479139
本文详细分析了护网杯2018中easy_tornado挑战的解决过程,探讨了如何利用Tornado的模板注入漏洞,通过获取cookie_secret并进行两次MD5加密来揭示隐藏的flag。

目录

姿势

进入页面给出三个链接:

在这里插入图片描述

分别为:

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

提示:filename先被md5加密后,结合cookie_secret,再次被md5加密

先加密filename:

在这里插入图片描述

得到:3bf9f6cf685a6dd8defadabfb41a03a1

了解本专栏 订阅专栏 解锁全文 超级会员免费看
[ 2018]easy_tornado WriteUp(超级细!)
lunan的博客
04-22 4227
[ 2018]easy_tornado   打开题目后,首先发现3个超链接   依次点开三个链接    址里有参数filename和filehash推测这里flag应该是 filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(filename))里面,filehash里hash就是提示为md5的hash加密。    变量 filename 的值总是为要访问的文件,再根据提示三和 fil
网络安全 | CTF】攻防世界 2018 easy_tornado
等风来
07-23 5660
tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。或一个目录是“/Users/python/tornado-file-read/static_private/”,传入某文件的路径为“/Users/python/tornado-file-read/static/”将得到的cookie_secret同加密的内容一同进行加密。
【buuctf】[]easy_tornado
应无所住而生其心
04-17 870
正是修行时
[ 2018]easy_tornado1
最新发布
rasssel的博客
10-23 537
基本上我知道,flag在/fllllllllllllag,哈希的算法是MD5(cookie_secret+MD5(filename))我们要找cookie_secret,他被放在settings字典里,现在我要知道,什么命令可以读到这个字典,但对于tornado也不太了解,不知道怎么哪cookie_secret,看到大佬的wp,于是跟上上官看看。这么多条目,我的思路是先看setting,看看他怎么设置的,从而看看有没有下手点。” 这份文档本身是固定的,但里面的空白处需要动态填充。比如一份会议通知:“
[ 2018]easy_tornado
weixin_52116519的博客
04-16 1276
前言 这道题需要对tornado框架有一些熟悉。因为不熟悉,后面就完全没有思路了,也就不会做了。这道题不止考某个知识点,更重要的是面对未知的东西,怎么去找资料和搜哪些关键词。 解题 1、看名字就觉得眼熟,额,是python框架。大概会涉及到SSTI。 2、flag在/fllllllllllllag,但是还需要filehash。而且cookie_secret也不知道是啥。 3、访问/fllllllllllllag时,出现这个页面。前面的都没有SSTI,试试这个就有了。 4、现在目标就是怎么利用msg这个参
CTF】buuctf web(二)——[ 2018]easy_tornado
m0_52923241的博客
08-01 1057
[ 2018]easy_tornado 首先出来三个链接 查看flag.txt 提示flag在/fllllllllllllag中 OK,知道了第一个条件,filename=/fllllllllllllag 查看welcome.txt 查看hints.txt 分一下 这里有两个参数,第一个参数filename,文件的名称,我们通过查看flag.txt文件知道,藏flag的文件名为fllllllllllllag;第二个参数filehash,翻译一下:文件哈希,也就是加密了 加密方法在第三个文件中md
2018easy_tornado
Lixunzhe0112的博客
01-17 820
常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞。错误的执行了用户输入。当然还是和sql注入有所不同的,SSTI利用的是现在的模板引擎(下面会提到),主要针对python、php、java的一些站处理框架,比如Python的jinja2mako tornado django,php的smarty twig,java的jadevelocity。
网络安全 | CTF】攻防世界 very_easy_sql 解题(gopher协议+ssrf漏洞sql注入+盲注脚本)
热门推荐
等风来
08-01 1万+
登录处直接注入会提示you are not an inner user, so we can not let you have identify~查看源代码发现use.php,访问后猜测该题为基于ssrf漏洞的sql注入:因此我们可构造含有gopher协议的盲注脚本,通过对use.php界面发送请求来获取flag。具体实现的方法是通过构造不同的poc来进行注入攻击,并利用时间延迟判断是否成功注入
网络安全 | CTF】攻防世界 weak_auth 解题
等风来
05-21 8018
题目描述:小宁写了一个登陆验证页面,随手就设了一个密码。正常来说,登录失败时会重定向至Login页面,而。该题密码较简单,故使用常规字典爆破可得flag。1.将请求包发送至Intruder并。用户名admin,密码1进行登录。2.设置Payload,添加字典。姿势较简单,本文不再赘述。3.启动爆破,查看结果。
BUUCTF---web---[ 2018]easy_tornado1
2201_75556700的博客
03-13 1107
3.通过第一个信息可知,flag在文件名为/fllllllllllllag这个里面,第二个信息中的render是渲染函数,第三个个信息中是一个md5加解密,因为filename我们已经知道,所以我们需要找到cookie_secret的值。8.在这三个信息中我们唯一不知道的就是cookie_secert的值,tornado中msg该传什么值才能得到cookie_secert的值,是我们接下来要做的事情,查阅文档之后。6.需要利用msg的值进行传参,在tornado官方文档中提到。2.依次点开文件链接。
BUUCTF WEB [ 2018]easy_tornado
Y1da的博客
04-17 823
BUUCTF WEB [ 2018]easy_tornado 进入环境,发现三个文件 /flag.txt flag in /fllllllllllllag /welcome.txt render /hints.txt md5(cookie_secret+md5(filename)) 根据题目提示可知,题目环境使用python tornado模板渲染搭建,flag文件名为fllllllllllllag。观察URL可知,访问文件需要提交文件名filename和利用cooki
easy_tornado
03-08
### EasyTornado 使用指南 #### 关于 `render` 函数 `render` 是 Python 中用于渲染模板的一个函数,尤其适用于 Tornado 框架。此函数依据传入的不同参数来动态生成页内容[^1]。 ```python def get(self): self.render("template.html", variable=value) ``` 这段代码展示了如何利用 `self.render()` 方法加载名为 `"template.html"` 的 HTML 文件并传递变量给该文件以便在前端显示。 #### 访问环境配置信息 对于 Tornado 应用程序而言,`handler.settings` 提供了一种便捷的方式来获取应用程序级别的设置项。这意味着开发者能够轻松读取全局设定的信息,比如数据库连接字符串或者静态资源路径等[^2]。 ```python class MainHandler(tornado.web.RequestHandler): def get(self): setting_value = self.settings.get('setting_name', default_value) self.write(f'Setting value is {setting_value}') ``` 这里演示了怎样从请求处理器内部提取特定的配置选项;如果指定的名字不存在,则返回默认值。 #### 多个 Handler 的定义与继承关系 当构建基于 Tornado站项目时,通常会创建多个处理不同 URL 请求的 handler 类。这些自定义类都应继承自基类 `tornado.web.RequestHandler` 并且共享相同的应用实例(`application`)及其属性(settings)[^3]。 ```python from tornado.web import Application, RequestHandler class BaseHandler(RequestHandler): pass # 可能有一些通用逻辑 class HomeHandler(BaseHandler): def get(self): self.write("Home Page") app = Application([ (r"/", HomeHandler), ], **settings_dict) ``` 上述例子说明了一个简单的应用结构,其中包含了两个 handlers——一个是基础类 `BaseHandler` ,另一个是从它派生出来的具体页面控制器 `HomeHandler`. #### 安全性和漏洞防范 值得注意的是,在实际开发过程中要特别关注安全性问题。例如,在某些 CTF(夺旗竞赛)挑战赛里可能会遇到有关 Tornado 模板注入的问题。为了防止此类攻击发生,务必仔细验证用户输入的数据,并采用合适的编码措施以确保不会被恶意利用[^4]. #### 实际案例分 在一个具体的 CTF 场景下,参与者可能需要解决涉及文件哈希校验的任务。通过构造特殊的查询字符串参数组合 (`filename` 和 `filehash`) 来绕过安全机制从而获取敏感信息。然而这种做法仅限于学习研究用途,请勿非法使用[^5].
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值