[护网杯 2018]easy_tornado

最新推荐文章于 2025-10-23 10:53:59 发布
原创 最新推荐文章于 2025-10-23 10:53:59 发布 · 293 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tornado #CTF #网络安全 #WriteUp #web安全

文章描述了一次网络安全竞赛中的挑战,参赛者需通过分析链接格式,发现存在模板注入漏洞。利用Tornado框架的RequestHandler结构,提取cookie_secret,并结合MD5加密计算,找到隐藏的flag。

[护网杯 2018]easy_tornado

进入靶场:
在这里插入图片描述

  • 首页上三个链接,挨个去查看下。
    在这里插入图片描述


在这里插入图片描述

  • 链接格式都是:/file?filename=/hints.txt&filehash=xxxxxxx
  • flag in /fllllllllllllag:猜测flag在文件/fllllllllllllag
  • filename hash要用md5(cookie_secret+md5(filename))的格式加密
  • 接下来的问题就是filename有了,剩下cookie_secretcookie_secret是tornado框架里面的。

fuzz后面的参数:

发现存在msg参数可以进行模板注入:
在这里插入图片描述

  • tornado在搭建一个网站时,肯定会有多个handler,而这些handler都是RequestHandler的子类

  • RequestHandler.settings又指向self.application.settings

  • 这样我们就可以构造一下payload:?msg={{handler.settings}}
    在这里插入图片描述

  • 拿到cookie_secret就可以写个小脚本去算md5值了

import sys
import hashlib

cookie = "d9378b20-58de-430d-afce-313282095a39"
filename = "/fllllllllllllag"

md5 = hashlib.md5()
md5.update(filename.encode('utf-8'))
finename_md5 = md5.hexdigest()

flag = cookie + finename_md5
md5 = hashlib.md5()
md5.update(flag.encode('utf-8'))
flag_md5 = md5.hexdigest()
print(flag_md5)

在这里插入图片描述

Get Flag ! ! !

网络安全 | CTF2018easy_tornado解题详析(Tornado之SSTI注入)
等风来
08-24 5958
提示:filename先被md5加密后,结合cookie_secret,再次被md5加密姿势进入页面给出三个链接:提示:filename先被md5加密后,结合cookie_secret,再次被md5加密先加密filename:得到:3bf9f6cf685a6dd8defadabfb41先加密filename:可知存在模板注入,而Tornado框架的附属文件handler.settings中存在cookie_secret故get传参:/error?msg={{handler.settings}}得到
网络安全 | CTF】攻防世界 2018 easy_tornado
等风来
07-23 5615
tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。或一个目录是“/Users/python/tornado-file-read/static_private/”,传入某文件的路径为“/Users/python/tornado-file-read/static/”将得到的cookie_secret同加密的内容一同进行加密。
CTF】buuctf web(二)——[ 2018]easy_tornado
m0_52923241的博客
08-01 1042
[ 2018]easy_tornado 首先出来三个链接 查看flag.txt 提示flag在/fllllllllllllag中 OK,知道了第一个条件,filename=/fllllllllllllag 查看welcome.txt 查看hints.txt 分析一下 这里有两个参数,第一个参数filename,文件的名称,我们通过查看flag.txt文件知道,藏flag的文件名为fllllllllllllag;第二个参数filehash,翻译一下:文件哈希,也就是加密了 加密方法在第三个文件中md
[ 2018]easy_tornado1
最新发布
rasssel的博客
10-23 507
基本上我知道,flag在/fllllllllllllag,哈希的算法是MD5(cookie_secret+MD5(filename))我们要找cookie_secret,他被放在settings字典里,现在我要知道,什么命令可以读到这个字典,但对于tornado也不太了解,不知道怎么哪cookie_secret,看到大佬的wp,于是跟上上官看看。这么多条目,我的思路是先看setting,看看他怎么设置的,从而看看有没有下手点。” 这份文档本身是固定的,但里面的空白处需要动态填充。比如一份会议通知:“
buuojweb刷题wp详解及知识整理—-【easy_tornado(模板注入+md5)
01-20
写在前面 服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 ...回显 render 而且url处有异常 同理测试其他选项 ...
[ 2018]easy_tornado WriteUp(超级详细!)
lunan的博客
04-22 4208
[ 2018]easy_tornado   打开题目后,首先发现3个超链接   依次点开三个链接    址里有参数filename和filehash推测这里flag应该是 filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(filename))里面,filehash里hash就是提示为md5的hash加密。    变量 filename 的值总是为要访问的文件,再根据提示三和 fil
2018easy_tornado
Lixunzhe0112的博客
01-17 808
常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞。错误的执行了用户输入。当然还是和sql注入有所不同的,SSTI利用的是现在的站模板引擎(下面会提到),主要针对python、php、java的一些站处理框架,比如Python的jinja2mako tornado django,php的smarty twig,java的jadevelocity。
BUUCTF WEB [ 2018]easy_tornado
Y1da的博客
04-17 815
BUUCTF WEB [ 2018]easy_tornado 进入环境,发现三个文件 /flag.txt flag in /fllllllllllllag /welcome.txt render /hints.txt md5(cookie_secret+md5(filename)) 根据题目提示可知,题目环境使用python tornado模板渲染搭建,flag文件名为fllllllllllllag。观察URL可知,访问文件需要提交文件名filename和利用cooki
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值