tornado模板注入

这是我在做一道ctf题目当中遇到的,不太会,所以浅浅学习了一下,跟大家分享。

1.介绍

tornado是python当中的一个模板,因此这个漏洞是归属于SSTI(服务器模板漏洞),所谓的模板其实就是一种框架,python当中常见的模板漏洞还有flask。

服务器端模板注入是指攻击者能够利用服务端所采用的模板(框架)语法将恶意有效负载注入模板中,然后在服务器端执行该模板。关键就在于构造的payload能够被相应的框架解析执行。

2.工具

了解到有一个工具Tplmap,可以用来批量扫描模板注入

3.知识点

在Tornado里,应用的设置可以通过handler.settings访问。

4.总结

我在最后拿到cookie然后进行md5的时候,找了一个网站进行加盐的md5,但是结果不对,可能是我哪里搞错了。最后还是手动进行了两次md5然后再把他们拼接到一起才弄好的。

相关推荐
运维开发王义杰12 分钟前
金融安全生命线:用AWS EventBridge和CloudTrail构建主动式入侵检测系统
安全·金融·aws
安全系统学习2 小时前
系统安全之大模型案例分析
前端·安全·web安全·网络安全·xss
加密狗复制模拟4 小时前
坚石ET ARM加密狗复制模拟介绍
安全·软件工程·个人开发
galaxylove5 小时前
Gartner发布塑造安全运营未来的关键 AI 自动化趋势
人工智能·安全·自动化
scuter_yu5 小时前
主流零信任安全产品深度介绍
运维·网络·安全
江苏思维驱动智能研究院有限公司5 小时前
Sophos 网络安全:全球领先的自适应安全解决方案提供商
网络·安全·web安全
小能喵7 小时前
Kali Linux Wifi 伪造热点
linux·安全·kali·kali linux
浩浩测试一下12 小时前
渗透信息收集- Web应用漏洞与指纹信息收集以及情报收集
android·前端·安全·web安全·网络安全·安全架构
Fortinet_CHINA15 小时前
工业网络安全新范式——从风险可见性到量化防御的进化
安全·web安全
网安小白的进阶之路17 小时前
A模块 系统与网络安全 第三门课 网络通信原理-3
网络·windows·安全·web安全·系统安全