easytornado的wp

打開題目及其對應(yīng)鏈接

http://111.200.241.244:54518/file?filename=/flag.txt&filehash=56c3edef87e35138fd9a79ff81bb0253

得到如下三個文件及其內(nèi)容

/flag.txt

flag in /fllllllllllllag

/welcome.txt

render

/hints.txt

md5(cookie_secret+md5(filename))


由題目標題可知,該網(wǎng)站用的時tornado框架

有提示1可知,flag在/fllllllllllllag文件下

將鏈接中/flag.txt替換為/fllllllllllllag后得到如下頁面


改變msg后文字,頁面內(nèi)容也有所改變秩冈,證明存在模板注入漏洞并且能夠回顯


由提示2得知render存在漏洞新啼,查看render函數(shù)的說明


render時模板渲染函數(shù)佩研,可以將對應(yīng)參數(shù)渲染入模板內(nèi)

Tornado模板支持控制語句和表達式柒竞。控制語句被{%和%}包圍趟紊,例如{%如果len(items)>2%}。表達式被{{和}包圍碰酝,例如{{items[0]}霎匈。

表達式可以是任何Python表達式,包括函數(shù)調(diào)用送爸。模板代碼在包含以下對象和函數(shù)的命名空間中執(zhí)行铛嘱。(請注意,此列表適用于使用RequestHandler.render和render_字符串呈現(xiàn)的模板袭厂。如果您直接在RequestHandler外部使用tornado.template模塊墨吓,則其中許多條目不存在)。

escape: alias for tornado.escape.xhtml_escape

xhtml_escape: alias for tornado.escape.xhtml_escape

url_escape: alias for tornado.escape.url_escape

json_encode: alias for tornado.escape.json_encode

squeeze: alias for tornado.escape.squeeze

linkify: alias for tornado.escape.linkify

datetime: the Python datetime module

handler: the current RequestHandler object

request: alias for handler.request

current_user: alias for handler.current_user

locale: alias for handler.locale

_: alias for handler.locale.translate

static_url: alias for handler.static_url

xsrf_form_html: alias for handler.xsrf_form_html

reverse_url: alias for Application.reverse_url

All entries from the ui_methods and ui_modules Application settings

Any keyword arguments passed to render or render_string


最有可能包含cookie_secret時在hander


問題時如何獲取cookie_secret參數(shù)嵌器,通過用戶手冊可以查詢到settings中有cookie_secret參數(shù)

通過查閱文檔發(fā)現(xiàn)cookie_secret在Application對象settings屬性中肛真,還發(fā)現(xiàn)self.application.settings有一個別名

RequestHandler.settings An alias for self.application.settings.

handler指向的處理當前這個頁面的RequestHandler對象, RequestHandler.settings指向self.application.settings爽航, 因此handler.settings指向RequestHandler.application.settings蚓让。

構(gòu)造payload獲取cookie_secret

/error?msg={{handler.settings}}



setting中由cookie_secret參數(shù),通過{{handler.settings}}可以獲得cookie_secret參數(shù)


通過md5(cookie_secret+md5(filename))可以計算出filehash值

在python3的標準庫中讥珍,已經(jīng)移除了md5历极,而關(guān)于hash加密算法都放在hashlib這個標準庫中,如SHA1衷佃、SHA224趟卸、SHA256、SHA384氏义、SHA512和MD5算法等锄列。


md5()方法使用

update(arg)傳入arg對象來更新hash的對象。必須注意的是惯悠,該方法只接受byte類型邻邮,否則會報錯。這就是要在參數(shù)前添加b來轉(zhuǎn)換類型的原因克婶。? 同時要注意筒严,重復(fù)調(diào)用update(arg)方法丹泉,是會將傳入的arg參數(shù)進行拼接,而不是覆蓋鸭蛙。也就是說摹恨,m.update(a); m.update(b) 等價于m.update(a+b)。? hexdigest()在英語中hex有十六進制的意思娶视,因此該方法是將hash中的數(shù)據(jù)轉(zhuǎn)換成數(shù)據(jù)晒哄,其中只包含十六進制的數(shù)字。


import hashlib


m = hashlib.md5()

m.update(b'/fllllllllllllag')

f = m.hexdigest()

m = hashlib.md5()

m.update(b'2ab80280-7bdd-402a-b0c7-cabdb3a4715a'+f.encode(encoding='utf-8'))

f = m.hexdigest()

得到最終的payload

filename=/fllllllllllllag&filehash=07949418d71869acb05f173716f4d19c

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末歇万,一起剝皮案震驚了整個濱河市揩晴,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌贪磺,老刑警劉巖硫兰,帶你破解...
    沈念sama閱讀 222,729評論 6 517
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異寒锚,居然都是意外死亡劫映,警方通過查閱死者的電腦和手機,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,226評論 3 399
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門刹前,熙熙樓的掌柜王于貴愁眉苦臉地迎上來泳赋,“玉大人,你說我怎么就攤上這事喇喉∽娼瘢” “怎么了?”我有些...
    開封第一講書人閱讀 169,461評論 0 362
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵拣技,是天一觀的道長千诬。 經(jīng)常有香客問我,道長膏斤,這世上最難降的妖魔是什么徐绑? 我笑而不...
    開封第一講書人閱讀 60,135評論 1 300
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮莫辨,結(jié)果婚禮上傲茄,老公的妹妹穿的比我還像新娘。我一直安慰自己沮榜,他們只是感情好盘榨,可當我...
    茶點故事閱讀 69,130評論 6 398
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著蟆融,像睡著了一般草巡。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上振愿,一...
    開封第一講書人閱讀 52,736評論 1 312
  • 城市分裂傳說
    那天捷犹,我揣著相機與錄音,去河邊找鬼冕末。 笑死萍歉,一個胖子當著我的面吹牛,可吹牛的內(nèi)容都是我干的档桃。 我是一名探鬼主播枪孩,決...
    沈念sama閱讀 41,179評論 3 422
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼藻肄!你這毒婦竟也來了蔑舞?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 40,124評論 0 277
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤嘹屯,失蹤者是張志新(化名)和其女友劉穎攻询,沒想到半個月后,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體州弟,經(jīng)...
    沈念sama閱讀 46,657評論 1 320
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡钧栖,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 38,723評論 3 342
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時候發(fā)現(xiàn)自己被綠了婆翔。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片拯杠。...
    茶點故事閱讀 40,872評論 1 353
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖啃奴,靈堂內(nèi)的尸體忽然破棺而出潭陪,到底是詐尸還是另有隱情,我是刑警寧澤最蕾,帶...
    沈念sama閱讀 36,533評論 5 351
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布依溯,位于F島的核電站,受9級特大地震影響揖膜,放射性物質(zhì)發(fā)生泄漏誓沸。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 42,213評論 3 336
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一壹粟、第九天 我趴在偏房一處隱蔽的房頂上張望拜隧。 院中可真熱鬧,春花似錦趁仙、人聲如沸洪添。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,700評論 0 25
  • 一樁弒父案雀费,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽干奢。三九已至,卻和暖如春盏袄,著一層夾襖步出監(jiān)牢的瞬間忿峻,已是汗流浹背薄啥。 一陣腳步聲響...
    開封第一講書人閱讀 33,819評論 1 274
  • 情欲美人皮
    我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留逛尚,地道東北人垄惧。 一個月前我還...
    沈念sama閱讀 49,304評論 3 379
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長得像绰寞,于是被迫代替她去往敵國和親到逊。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當晚...
    茶點故事閱讀 45,876評論 2 361

推薦閱讀更多精彩內(nèi)容

  • 16宿命:用概率思維提高你的勝算 以前的我是風險厭惡者滤钱,不喜歡去冒險觉壶,但是人生放棄了冒險,也就放棄了無數(shù)的可能件缸。 ...
    yichen大刀閱讀 6,059評論 0 4
  • 公元:2019年11月28日19時42分農(nóng)歷:二零一九年 十一月 初三日 戌時干支:己亥乙亥己巳甲戌當月節(jié)氣:立冬...
    石放閱讀 6,889評論 0 2
  • 年紀越大铜靶,人的反應(yīng)就越遲鈍,腦子就越不好使停团,計劃稍有變化旷坦,就容易手忙腳亂,亂了方寸佑稠。 “玩壞了”也是如此秒梅,不但會亂...
    玩壞了閱讀 2,154評論 2 1
  • 感動 我在你的眼里的樣子,就是你的樣子舌胶。 相互內(nèi)化 沒有絕對的善惡 有因必有果 當你以自己的價值觀幸福感去要求其他...
    周粥粥叭閱讀 1,640評論 1 5
  • 昨天考過了阿里規(guī)范捆蜀,心里舒坦了好多,敲代碼也猶如神助幔嫂。早早完成工作回家嘍
    常亞星閱讀 3,042評論 0 1