攻防世界-web-easytornado

题目描述:Tornado 框架。打开链接是一个简单的界面

1. 思路分析

看到有个/flag.txt,我们点击进去看下

发现传入了两个参数,一个是filename,还有一个是filehash

看到里面的内容,提示我们真正的flag在 /fllllllllllllag中

因此,读取到 /fllllllllllllag就可以获取到真正的flag了,但是我们现在只知道文件名,并不知道对应的hash值,那么无法简单的通过请求进行处理

如何获取对应文件的hash值呢,看下其它两个文件

这里面提到的渲染还有计算hash值的方法,这里要如何利用呢?

由于对Tornado 框架了解较少,因此这里还是参考了网上资料才知道了漏洞原理。如果对该框架有一定了解的同学在看到上面的线索后应该很容易就能解出来了。该漏洞原理涉及到Tornado 框架本身 :

Tornado render是python中的一个渲染函数,也就是一种模板,如果用户对渲染的内容可控的话,那么可以通过render执行相应的代码,该框架中存在一些重要的配置对象可以被快速访问到,比如:handler.settings(参考:python SSTI tornado render模板注入_render tornado_multi4的博客-CSDN博客

ok。到了这里,题目就比较清晰了:

1.1 通过模板注入获取到关键信息cookie_secret

1.2 算出文件的hash值

1.3 获取文件内容

2. 解题过程

2.1 利用模板注入获取到cookie_secret

http://61.147.171.105:49529/error?msg={{handler.settings}}

我们获取到cookie_secret为64a44808-f4db-408c-8d56-b2b6adf380fa

2.2 计算 /fllllllllllllag 的文件hash值(这里计算的时候要用echo -n)

2.3 计算出文件hash值之后,然后传入filename和filehash获取文件内容即可

获取到flag为flag{3f39aea39db345769397ae895edb9c70}

总结: 这道题提示很清晰,但是需要一定的背景知识,关键点在于利用Tornado 框架进行模板注入获取关键信息cookie_secret,获取到之后就很容易解出来了

相关推荐
不会C语言的男孩2 小时前
TCP通信可视化工具,含下载地址
服务器·网络·安全
遇码4 小时前
开源 Data Agent 实战:用 Lakemind + DuckDB 让 LLM 安全分析本地数据
安全·开源
Chengbei114 小时前
VMware Workstation Pro 26H1免费虚拟化利器
运维·安全·web安全·自动化·系统安全·apache·安全架构
AI创界者5 小时前
打造内网安全防线:使用 Kali Linux 进行企业级漏洞风险自查与防御指南
linux·运维·安全
YOLO数据集集合13 小时前
吊装作业的“电子围栏”:YOLOV13如何用AI框住塔吊下的致命风险
人工智能·安全·yolo·目标检测
@insist12314 小时前
系统规划与管理师-信息安全规划核心考点解析:概述与安全架构
安全·软考·安全架构·系统规划与管理师·软件水平考试·系统规划与管理工程师
IT小白杨15 小时前
从移动指纹到App隔离:TikTok Shop跨境电商账号安全管理实战
安全·新媒体运营·业界资讯·指纹浏览器
humors22115 小时前
【分享】火绒恶意网址自定义规则,根据互联网应急中心部分威胁预警恶意代码制作
网络·安全·规则·火绒安全·恶意网址·应急中心
工程管理笔记16 小时前
工程发票与资金管理系统:蓝燕云进销项发票台账功能
安全
爱折腾的小黑牛19 小时前
礼账小程序的数据安全方案:加密与备份
数据库·安全