tornado模板注入

这是我在做一道ctf题目当中遇到的,不太会,所以浅浅学习了一下,跟大家分享。

1.介绍

tornado是python当中的一个模板,因此这个漏洞是归属于SSTI(服务器模板漏洞),所谓的模板其实就是一种框架,python当中常见的模板漏洞还有flask。

服务器端模板注入是指攻击者能够利用服务端所采用的模板(框架)语法将恶意有效负载注入模板中,然后在服务器端执行该模板。关键就在于构造的payload能够被相应的框架解析执行。

2.工具

了解到有一个工具Tplmap,可以用来批量扫描模板注入

3.知识点

在Tornado里,应用的设置可以通过handler.settings访问。

4.总结

我在最后拿到cookie然后进行md5的时候,找了一个网站进行加盐的md5,但是结果不对,可能是我哪里搞错了。最后还是手动进行了两次md5然后再把他们拼接到一起才弄好的。

相关推荐
小小小CTFER2 小时前
理论题] 2025 年 “技耀泉城” 海右技能人才大赛网络安全知识竞赛题目(二)
算法·安全·web安全
杭州泽沃电子科技有限公司12 小时前
烧结工序的“隐形守护者”:在线监测如何成为钢铁制造的关键支柱
物联网·安全·智能监测
卓豪终端管理13 小时前
从发现到阻止:构建自动化内部威胁防线的核心步骤
网络·安全·web安全
第十六年盛夏.13 小时前
【网络安全】未授权漏洞
安全·web安全
骥龙15 小时前
1.1、开篇:AI如何重塑网络安全攻防格局?
人工智能·安全·web安全
Web3_Daisy15 小时前
冷换仓的隐性代价:从安全策略到地址信誉体系的重新思考
大数据·安全·web3·区块链·比特币·1024程序员节
GIS数据转换器17 小时前
城市基础设施安全运行监管平台
大数据·运维·人工智能·物联网·安全·无人机·1024程序员节
超防局19 小时前
SQLMap 终极渗透手册(2025全功能版)
sql·web安全·1024程序员节
萤丰信息19 小时前
慧园区:科技赋能下的城市空间新范式
大数据·科技·安全·重构·智慧城市·智慧园区
独行soc19 小时前
2025年渗透测试面试题总结-215(题目+回答)
网络·安全·web安全·adb·渗透测试·1024程序员节·安全狮