題目:[護網杯 2018]easy_tornado 1
出處:https://buuoj.cn/challenges
知識點:
1.模板注入
2.百度
題面:
解題步驟:
1.看到tornade我覺得這可能是個我不知道的知識點,我決定百度一下,第一個發現是python,根據經驗,基本上每次在web題里見到python,都與模板注入有關,
2.分別打開三個檔案,內容如下:
/hints.txt
md5(cookie_secret+md5(filename))
/welcome.txt
render
/flag.txt
flag in /fllllllllllllag
每次點開一個檔案,打開檔案都會以以下形式傳遞引數:
file?filename=/flag.txt&filehash=3925fdff8aebe222710b301081210653
3.filehash是個32位的東西,憑經驗,它是個md5加密的資料,我猜這里只要filehash和filename的資料能對應上就可以讀取filename檔案中的內容,而hints.txt中的公式很可能就是filehash的計算方法,我們驗證一下這個猜測,將file?filename=/flag.txt&filehash=3925fdff8aebe222710b301081210653中的filehash或flag.txt改成別的東西,立刻報錯error,說明應該只有filehash正確,才能顯示檔案,
4.如此一來,我們現在只差一個cookie_secret即可得到結果,我們知道MD5加密不可逆(但是可以口算),雖然我們有了兩個已知的filehash和對應的filename但是我們無法通過已知的變數算出這個cookie_secret,這說明cookie_secret需要用其他方法獲取,
5.我們知道滲透測驗的特點就是要碰運氣,我百度了很久也讀了檔案,還是沒有找到cookie_secret存在哪里,目前為止這道題還沒有進行任何漏洞利用,我覺得不太正常,結合前面猜測的模板注入,我們不妨先驗證一下,本題的漏洞是否在這里,我們知道模板注入必須通過傳輸型如{{xxx}}的執行命令,探測方式很簡單,給一個引數賦值{{22*22}}回傳484則必然存在模板注入,
6.目前已經知道的引數傳遞只有兩個,一個是xxxx/file?filename=,一個是xxxx/error?msg=
分別測驗一下:
測驗xxxx/file?filename={{22*22}},報錯,跳轉到xxxx/error?msg=error,
測驗xxxx/error?msg={{22*22}},回傳一個這個,這我也沒見過
我再試一下{{1}},回傳:
我大概知道了,長得這么人工的東西可能意思是發生了過濾,畢竟如果存在可以肆意利用的模板注入,就可以直接rce了,題也不用做了,直接讀檔案就行了,看來msg引數確實可以進行模板注入,是這題的突破口,
7.問題又回來了,現在我們知道了存在模板注入的存在,接下來要獲取cookie_secret,各種嘗試與資料獲取發現對于tornado框架存在附屬檔案handler.settings,于是嘗試輸入/error?msg={{handler.settings}},回傳值如下,我們取得了cookie_secret(這段直接照搬):
(好吧我在這里也卡住了,去閱讀了一些wp之后,發現基本上大家的文章里都是一下子就知道了cookie_secret是怎么獲取,但是恕我直言,相比模塊注入,這里可能是這題比較難搞的地方,我讀了半天檔案還是沒搞明白,讀檔案怎么發現handler.settings可以獲取cookie_secret的,對于我這樣不用python進行web開發的人來說,根本是云里霧里,我現在做題的量還是太少了,目前還不能確定到底這里考察的是對python的掌味訓是閱讀開發檔案的能力,)
8.利用腳本,算出來最終的filehash,好吧這里我又踩了一個坑,我用php寫了個腳本試了好幾次,才想起來這個程式是python的,代碼如下
#coding:utf-8
import hashlib
def md5(s):
md5 = hashlib.md5()
md5.update(s.encode("utf8"))
return md5.hexdigest()
def filehash():
filename = '/fllllllllllllag'
cookie_secret = '856bc928-2e49-4398-8135-69c4b317baba'
print(md5(cookie_secret + md5(filename)))
if __name__ == '__main__':
filehash()
運行之后
得到
filehash=a503491adff0b7483b471c2aaab4ea4e
以filehash和filename的正確值輸入進行檔案讀取:
xxxxx/file?filename=/fllllllllllllag&filehash=a503491adff0b7483b471c2aaab4ea4e
得到flag:
總結:
抱歉,對于我不熟悉的領域,文章無法保證質量,這篇文章雖然我修修改改很久,但還是很不滿意,我做php審計題目和注入題目比較多,平時寫python也就是做做爬蟲,這次這題算是惡心到我了,目前我有兩個疑點:
1.我不太清楚對于使用python進行web開發的程式員來說,cookie_secret到底是不是一個常識性的東西,以至于我不能確定到底這題獲取cookie_secret部分考察的是對python的掌味訓是閱讀開發檔案的能力,
2.到底“一有python的web題就是模板注入”這個邏輯是不是個常態,好像我遇到的全都是這種情況,
請知道的大佬們留言告訴我,或者也許以后我做的題目多了會自己對這篇blog進行更新,水了一天,實在慚愧,
ps:
我和短短的故事不會天天更新,但我還得不時不時的提起她,短短也會不開心,也會藏起來,程式員和貓都是孤獨的,
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/214761.html
標籤:其他