2025.2.8——一、[护网杯 2018]easy_tornado tornado模板注入

题目来源:BUUCTF [护网杯 2018]easy_tornado

目录

一、打开靶机,整理信息

二、解题思路

[step 1:分析已知信息](#step 1:分析已知信息)

[step 2:目标------找到cookie_secret](#step 2:目标——找到cookie_secret)

[step 3:构造payload](#step 3:构造payload)

三、小结


一、打开靶机,整理信息

直接给了三个文件,点进去看看

给了这三个信息,开始分析

二、解题思路

step 1:分析已知信息

1.告诉了我们flag in /fllllllllllllag

2.第二个文件重点render,是python中的一个渲染函数,url都是由filename和filehash组成,filehash即位他们filename的md5值

3.md5(cookie_secret+md5(filename)),给了我们加密方式,是将cookie_secret和md5(filename)拼接起来,再进行一次md5加密,所以我们需要找到cookie_secret,而第一条信息给我们的是flag在/fllllllllllllag文件中,所以猜测filename=/fllllllllllllag

But,url上面有点奇怪,可以一起看一下

/file?filename=/flag.txt&filehash=581a9759facbcc1a83a3b50cc99103dc
/file?filename=/welcome.txt&filehash=eb45ae2f382f05aa91e5f292edc6fcfd
/file?filename=/hints.txt&filehash=dbcd1e15de57d6753b7d62da938b58e6

发现三个文件都保存在filehash(文件名被哈希算法加密32位小写)

有一个师傅的wp解决了我的疑惑:122,【6】buuctf web [护网杯2018] easy_tornado-CSDN博客

注入点是这么来的

step 2:目标------找到cookie_secret

看了其他师傅的wp,说本题题目也提示了tornado,这是python的一个模块注入,联系第二个文件中的render方法

所以我们可以将代码放在双花括号里进行执行,其他大佬的wp中提到

step 3:构造payload

结合上面信息,我们可以构造payload如下

复制代码
/error?msg={
  
  {handler.settings}}

得到了cookie_secret信息

将其与flag所在文件的文件名/fllllllllllllag进行md5加密以后得到

复制代码
224efb29-b925-4b70-b53c-8e9a154688143bf9f6cf685a6dd8defadabfb41a03a1

将整体再进行md5加密得到

复制代码
45288316089fdc7fd3770fde20322384

构造payload如下

复制代码
/file?filename=/fllllllllllllag&filehash=45288316089fdc7fd3770fde20322384

url传参得到flag信息

三、小结

1.tornado模板注入

2.这里的注入点来源是修改了url,只传参file的话,url变化得到/error?msg=Error,修改Error,发现注入点的

相关推荐
水w21 分钟前
【miniConda3】conda虚拟环境环境迁移-打压缩包方式
开发语言·python·pycharm·conda·miniconda3
KjPrime21 分钟前
在windows系统上安装pyenv-win控制python版本
开发语言·windows·python
m0_7092143426 分钟前
Python学习记录 20250318
开发语言·python
small_blackca35 分钟前
Deepseek r1 本地部署
python·deepseek
ScilogyHunter37 分钟前
使用 OpenSSL 构建安全的网络应用
安全·openssl
鹿邑网爬38 分钟前
京东商品评论图片爬虫教程:轻松下载用户晒单图
后端·爬虫·python
开开心心就好40 分钟前
功能强大的电脑硬件检测及驱动安装工具
android·python·网络协议·tcp/ip·macos·django·pdf
coding36543 分钟前
YouTube播放列表下载工具
python
正经教主1 小时前
AI入门7:python三种API方式调用本地Ollama+DeepSeek
人工智能·vscode·python
王嘟嘟_1 小时前
企业安全——密码学基础
安全·密码学