2018护网杯easy_tornado(BUUCTF提供复现)

最新推荐文章于 2025-10-23 10:53:59 发布
原创 最新推荐文章于 2025-10-23 10:53:59 发布 · 5k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何通过SSTI(Server-Side Template Injection)模板注入漏洞来获取cookie_secret,并利用它来解密flag。在easy_tornado挑战中,通过对错误处理和文件访问URL的分析,确定了flag存储方式。通过模板注入获取handler.settings,从而得到cookie_secret,最终解密出flag。

进入页面:
在这里插入图片描述

然后依次看一下:
1)/flag.txt
网页内容:

/flag.txt
flag in /fllllllllllllag

url:
file?filename=/flag.txt&filehash=9f1a5c8c40be3aafbc5e719d151b1d36

这个页面告诉我们,flag在/fllllllllllllag文件中

2)/welcome.txt
网页内容:

/welcome.txt
render

url:
file?filename=/welcome.txt&filehash=290d383abaf5f98a0a858eeb99973a88

3)/hints.txt
网页内容:

/hints.txt
md5(cookie_secret+md5(filename))

url:
file?filename=/hints.txt&filehash=9c2c1e4ce37d7753784d1cdca61cd10f

从上面三个页面来看

  • flag在md5(cookie_secret+md5(filename))文件中
  • url中的filehash是md5(cookie_secret+md5(filename))

也就是说我们要向读取到文件,payload是这样的:
file?filename=/fllllllllllllag&filehash=**********************

******************的内容是md5(cookie_secret+md5(/fllllllllllllag))

所以我们的差的就是cookie_secret了,下面开始拿cookie_secret

通过源码和请求头并没有看到任何的cookie_secret信息,当我们尝试读取flag的时候:只修改filename为/fllllllllllllag,出现了报错:
在这里插入图片描述
题目是easy_tornado,/welcome.txt页面也看到render,可能会是SSTI模板注入
SSTI模板注入详解
尝试进行验证:
传递error?msg={{2}},页面出现2
传递error?msg={{2*3}},页面出现ORZ(但并不是cookie)
尝试除和减操作符也是)返回ORZ,说明是操作符背过滤了。

那么tornado中的cookie通过模板注入要怎么拿到呢?
用的就是handler.settings对象

handler 指向RequestHandler
而RequestHandler.settings又指向self.application.settings
所有handler.settings就指向RequestHandler.application.settings了!

传递error?msg={{ handler.settings }}得到:

{‘autoreload’: True, ‘compiled_template_cache’: False, ‘cookie_secret’: ‘93881405-8942-4355-9d77-09906cf0fcd6’}
这样就拿到cookie_secret了

然后传递file?filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(/fllllllllllllag))
这样就拿到flag了。

[ 2018]easy_tornado WriteUp(超级详细!)
lunan的博客
04-22 4222
[ 2018]easy_tornado   打开题目后,首先发现3个超链接   依次点开三个链接    址里有参数filename和filehash推测这里flag应该是 filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(filename))里面,filehash里hash就是提示为md5的hash加密。    变量 filename 的值总是为要访问的文件,再根据提示三和 fil
络安全 | CTF】2018easy_tornado解题详析(Tornado之SSTI注入)
等风来
08-24 5985
提示:filename先被md5加密后,结合cookie_secret,再次被md5加密姿势进入页面给出三个链接:提示:filename先被md5加密后,结合cookie_secret,再次被md5加密先加密filename:得到:3bf9f6cf685a6dd8defadabfb41先加密filename:可知存在模板注入,而Tornado框架的附属文件handler.settings中存在cookie_secret故get传参:/error?msg={{handler.settings}}得到
BUUCTF---web---[ 2018]easy_tornado1
2201_75556700的博客
03-13 1103
3.通过第一个信息可知,flag在文件名为/fllllllllllllag这个里面,第二个信息中的render是渲染函数,第三个个信息中是一个md5加解密,因为filename我们已经知道,所以我们需要找到cookie_secret的值。8.在这三个信息中我们唯一不知道的就是cookie_secert的值,tornado中msg该传什么值才能得到cookie_secert的值,是我们接下来要做的事情,查阅文档之后。6.需要利用msg的值进行传参,在tornado官方文档中提到。2.依次点开文件链接。
[ 2018]easy_tornado
weixin_52116519的博客
04-16 1272
前言 这道题需要对tornado框架有一些熟悉。因为不熟悉,后面就完全没有思路了,也就不会做了。这道题不止考某个知识点,更重要的是面对未知的东西,怎么去找资料和搜哪些关键词。 解题 1、看名字就觉得眼熟,额,是python框架。大概会涉及到SSTI。 2、flag在/fllllllllllllag,但是还需要filehash。而且cookie_secret也不知道是啥。 3、访问/fllllllllllllag时,出现这个页面。前面的都没有SSTI,试试这个就有了。 4、现在目标就是怎么利用msg这个参
[ 2018]easy_tornado1
最新发布
rasssel的博客
10-23 527
基本上我知道,flag在/fllllllllllllag,哈希的算法是MD5(cookie_secret+MD5(filename))我们要找cookie_secret,他被放在settings字典里,现在我要知道,什么命令可以读到这个字典,但对于tornado也不太了解,不知道怎么哪cookie_secret,看到大佬的wp,于是跟上上官看看。这么多条目,我的思路是先看setting,看看他怎么设置的,从而看看有没有下手点。” 这份文档本身是固定的,但里面的空白处需要动态填充。比如一份会议通知:“
web buuctf [ 2018]easy_tornado1
weixin_44214568的博客
03-12 4825
分解信息量: 1.题目名称是easy-tornadotornado是python的web框架(web框架的产生是避免程序代码与html编码的编码混乱性,框架将传参过程进行独立) 2.打开一共三个链接,分别点开 /flag.txt 提示内容:flag in /fllllllllllllag ,意思就是flag在文件fllllllllllllag里面,需要考虑怎么进入文件里面 /welcome.txt 提示内容:render,render是tornado里面的渲染函数,就是对web页界面进行编辑的函
【CTF】buuctf web(二)——[ 2018]easy_tornado
m0_52923241的博客
08-01 1053
[ 2018]easy_tornado 首先出来三个链接 查看flag.txt 提示flag在/fllllllllllllag中 OK,知道了第一个条件,filename=/fllllllllllllag 查看welcome.txt 查看hints.txt 分析一下 这里有两个参数,第一个参数filename,文件的名称,我们通过查看flag.txt文件知道,藏flag的文件名为fllllllllllllag;第二个参数filehash,翻译一下:文件哈希,也就是加密了 加密方法在第三个文件中md
BUUCTF__[ 2018]easy_tornado_题解
风过江南乱的博客
05-08 960
1
2018easy_tornado
Lixunzhe0112的博客
01-17 815
常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞。错误的执行了用户输入。当然还是和sql注入有所不同的,SSTI利用的是现在的站模板引擎(下面会提到),主要针对python、php、java的一些站处理框架,比如Python的jinja2mako tornado django,php的smarty twig,java的jadevelocity。
BUUCTF[ 2018]easy_tornado1-write up
m0_62851980的博客
04-23 1401
知识点: SSTI(模板注入),render函数,Tornado框架(知识点在最后) 打开靶机,看到三个链接: 分别点进去: 注意每个链接的url: /file?filename=/xxx&filehash=32位MD5 根据flag.txt和hint.txt提示url的形式为:文件名+32位MD5 再看hint.txt的提示:md5(cookie_secret+md5(filename))。明显我们要先找到cookie_secret进行MD5加密,再和进行MD5加密后输入的文
BUUCTF [ 2018] easy_tornado1
绘梨衣の沉默的博客。主要是CTF竞赛,网络安全,渗透测试,HVV,以及学习到的各种知识的分享
06-18 1093
Handler指向的处理当前这个页面的RequestHandler对象,handler是RequestHandler的别名,而上面又提到RequestHandler.settings是self.application.settings的别名。2、render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的页,如果用户对render内容可控,即可进行SSTI模板注入或者XSS注入。(4)访问出错后出现如下界面,输入{{1}},测试得出存在SSTI模板注入漏洞。
【web | CTF】BUUCTF [ 2018] easy_tornado
weixin_46301214的博客
02-15 1154
来看看题目,再问问文心一言,巴拉巴拉一大堆,就是说Tornado框架中模板语法和一个配置参数,我们能通过模板语法把配置文件的参数打印出来,就能得到cookie_secret了。套上模板语法就可以玩了,具体啥原理我也不太知道,这种老框架估计做完这题就不需要用了。简单阅读后会发现,这里存在文件包含漏洞,可以直接读取文件,但是有一个哈希值校验。天命:这题是框架性的漏洞,Python的web服务器框架,应该已经比较古老了。哈哈哈,我想太多了,没这么高科技,只是文件名的MD5值罢了。接着继续,只要你输错哈希值。
BUUCTF WEB [ 2018]easy_tornado
Y1da的博客
04-17 819
BUUCTF WEB [ 2018]easy_tornado 进入环境,发现三个文件 /flag.txt flag in /fllllllllllllag /welcome.txt render /hints.txt md5(cookie_secret+md5(filename)) 根据题目提示可知,题目环境使用python tornado模板渲染搭建,flag文件名为fllllllllllllag。观察URL可知,访问文件需要提交文件名filename和利用cooki
2018-easy tornadoBUUCTF
wyj_1216 House
02-07 2676
ssti模板注入 tornado框架 rander 题目 writeup 首先发现有三个文件,点进去看下 /flag.txt flag in /fllllllllllllag /file?filename=/flag.txt&filehash=a41fc7432da96c4b11c1bf1808f3417e /welcome.txt render /file?filename=/w...
BUUCTF日记--[ 2018]easy_tornado
weixin_41607190的博客
03-31 391
模板注入 何为模板注入,那么肯定要有模板,并且因为这个模板产生了注[狗头] 有一个叫模板引擎的东西,他能让(页)程序实现界面与数据的分离,业务代码和逻辑的分离,为的就是提升开发效率,提高代码的重用率。 他的注入成因和web的注入成因也一样,服务端在接受用户的输入时没有过滤,在目标编译渲染时,执行了用户恶意插入的内容。 那么究竟什么是模板? 模板就是提供给程序解析的一种语法,换句话说,模板是把数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值