护网杯-easytornado

最新推荐文章于 2025-01-20 22:46:35 发布
最新推荐文章于 2025-01-20 22:46:35 发布
阅读量163 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF训练日记 SSTI 文章标签: tornado 哈希算法 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/unexpectedthing/article/details/121026020
本文介绍了如何通过SSTI注入技巧在Tornado web框架中寻找flag,涉及文件路径遍历和cookie_secret的查找过程。重点在于理解模板注入和框架配置的搜索策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

前言

这个题就是不太算一个SSTI的题,就是对tornado框架的理解

解题思路

进网站后看到三个文件,分别打开

/flag.txt,flag in /fllllllllllllag
/welcome.txt,render
/hints.txt,md5(cookie_secret+md5(filname))

这个时候我们需要看到url有两个参数,filename和filehash。

网上搜tornado,发现是python的web框架,尝试用SSTI注入的方法

filename={{1*2}}

弹出error,我们又发现URL有参数msg,继续模板注入,注不进去。

回到hints.txt,发现filename有,只需找到cookie_secret.

tornado的handler.settings可以找到cookie_secret

最后就找md5的hash值

<?php
$a=md5("/fllllllllllllag");
$b='180e88c0-6eba-4d44-84b5-3763dda49173'.$a;
echo md5($b);

payload:

filename=/fllllllllllllag&filehash=e8678b4a129b62d01f52a71c6e61257a
络安全 | CTF】攻防世界 2018 easy_tornado
等风来
07-23 5493
tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。或一个目录是“/Users/python/tornado-file-read/static_private/”,传入某文件的路径为“/Users/python/tornado-file-read/static/”将得到的cookie_secret同加密的内容一同进行加密。
XCTF系列 // Web | easytornado
qq_45805420的博客
08-08 1260
前言 本题涉及到的知识点有,Tornado 的 SSTI 漏洞、Tornado 中的 cookie_secret 值 以及 Python3 中的 hashlib 模块。 首先大概的介绍一下 Tornado 的相关概念。 Tornado Tornado 是使用 Python 开发的全栈式(full-stack)Web 框架和异步络库。与以前提到过的 Flask 一样都是 Python 的一种 Web 开发框架。 Tornado render 模板注入 Tornado render 是 Python 中的一个
[ 2018]easy_tornado
qq_43622442的博客
04-11 4100
[ 2018]easy_tornado 为了不拖后腿疯狂刷题,hhh 1.打开站发现三个txt文件: 2.第一个文件提示flag in /fllllllllllllag 3.第二个文件不知道render是啥,百度翻译= =哈哈 4.第三个文件说了文件名的哈希方法: 5.还不能忘记题目的提示,查一下tornado是什么,所以可能是python模板注入了? 6.先直接访问和在参...
[ 2018]easy_tornado 1(两种解法!)
m0_73734159的博客
11-12 5828
tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量。猜测解题关键点在md5(cookie_secret+md5(filename))这里。改哈希值看看是否有变化。
20200109攻防世界WEB高手区题目一题多解全教程通关(13-18)
qq_45290991的博客
01-09 557
013unserialize3 经典的反序列化绕过wake_up魔术方法姿势,表示属性个数的值大于真实属性个数时,会绕过 _wakeup 函数的执行。我还是推荐官的教程,实在太经典了,大爱❥(^_-)https://www.php.cn/php-weizijiaocheng-454909.html 一进去这道题,源码直接: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?c
buuctf刷题 3(1个sstl模板注入 1个session伪造 以及php)
weixin_63231007的博客
05-03 899
[ 2018]easy_tornado 1 访问页面所给的可以得到 /flag.txt flag in /fllllllllllllag 可知flag在/fllllllllllllag。 /welcome.txt render /hints.txt md5(cookie_secret+md5(filename)) render不知道是上面意思。看别人题解说:结合题目给的tornado,可以想到SSTI。 render()函数是渲染函数,进行服务器端渲染。所以能想到模板注入 [..
CTF_Web:攻防世界高手区进阶题WP(15-18)
AFCC_的博客(Web_Dog)
09-01 1229
0x15 easytornado 0x16 shrine 0x17 isc-05 题目描述:其他破坏者会利用工控云管理系统设备维中心的后门入侵系统。 这个题目提示了出现问题的地方在于设备维中心页面,所以我们直接进去。 url为:http://111.200.241.244:63219/index.php?page=index 发现页面直接显示了index。 基本page是输入什么回显什么,这里使用php伪协议读取文件源码试试php://filter/read=convert.base64-encode/
[ 2018]easy_tornado1
最新发布
ywx05_的博客
01-20 276
注意题目easy_tornado 1;tornadopython的一个模板,可以看出这道题是模板注入类的题目。这里看到flag在/fllllllllllllag里面。后续用python写一个代码脚本直接进行解密。并且三个文件中都存在filehash(将加密得来的加到url的哈希函数值里面。可以发现的确是tornado模板注入。在hints.txt文件中发现。小白一个,记录自己的刷题记录。爆cookie_secret。被哈希算法加密32位小写)打开环境看到3个文件。
第一周任务
Lumos427的博客
03-25 443
第一周任务 [ 2018]easy_tornado /flag.txt flag in /fllllllllllllag /welcome.txt render //模板注入 /hints.txt md5(cookie_secret+md5(filename)) //根据模板注入得到的cookie_secret 加上flag所在目录的md5加密返回值一起进行MD5加密 render是p
2018第一场 web easy tornado LTshop超详细解答
iamsongyu的博客
10-24 4957
easy tornado 这个tornado是一个python的模板,在web使用的时候给出了四个文件,可以访问,从提示中和url中可以看出,访问需要文件名+文件签名(长度为32位,计算方式为md5(cookie_secret + md5(filename)));  flag文件名题目已给出 /fllllllllllag         题目关键为如何获取cookie,在Bp抓包的情况下没有显...
-easy_tornado
wyj_1216 House
10-14 7732
进入题目站,发现三个文件 首先进入第一个文件Orz.txt,发现提示渲染函数render(),直接将文件内容显示在页上 再进入第二个文件hint.txt,发现提示md5(cookie_secret + md5(filename)),即先将filenamemd5加密,再将cookie_secret与md5加密后的filename进行md5加密,也就是说,目前我们需要知道的是filename和...
2018easy_tornado(BUUCTF提供复现)
giaogiao123的博客
01-31 1083
进入页面首先看一下flag.txt file?filename=/flag.txt&filehash=9f1a5c8c40be3aafbc5e719d151b1d36 换成fllllllllllllg试一试 出现error 然后一脸懵逼,查阅资料发现这是一个SSTI注入,原理跟SQL注入一样,但是上图把 又查阅资料发现尝试进行验证: 传递error?msg={{2}},页面出现2 传递er...
每天一道ctf
whisper921的博客
11-07 855
PHP的字符串解析特性:PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:1.删除空白符 2.将某些字符转换为下划线(包括空格)【当waf不让你过的时候,php却可以让你过】。但php在解析的时候,会先把空格给去掉,这样我们的代码还能正常运行,还上传了非法字符。PHP的字符串解析特性:PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:1.删除空白符 2.将某些字符转换为下划线(包括空格)【当waf不让你过的时候,php却可以让你过】。
每天五道题
weixin_46560912的博客
09-17 625
2020/9/17 第一题 看到文件上传,菜刀生成php,抓包改jpg,发送reapter,操作完成,upload success 连接菜刀
BUU CTF web题write up
0xdawn的博客
12-10 5510
0x01 WarmUp 进来就是一个大大的滑稽,F12拿到源码链接source.php <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["sour...
BUUCT-WEB-easy_tornado
迷风小白
07-02 7663
easy_tornado tornadopython中的一个web应用框架。 拿到题目发现有三个文件 flag.txt /flag.txt flag in /fllllllllllllag 发现flag在/fllllllllllllag文件里 welcome.txt /welcome.txt render render是python中的一个渲染函数,渲染变量到模板中,即可以通过传递不同的参数形...
2020工业互联安全大赛原题解析与交流
标题“2020全国工业互联安全技术技能大赛-原题及附件-chinaiisc2020”指向了一个特定的活动和相关的资料集合。这个标题中蕴含的知识点主要包括以下几个方面: 1. 全国工业互联安全技术技能大赛 全国工业...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值