2021.1.19
不知不觉,1月份都到了19号,感觉一天一道题不太行呀。【狗头】
废话不多说,先写题解,再总结知识点。
题目名叫easytornado,应该是tornado框架的漏洞。
挨个点开看看
看到了/flllllllllag这个文件,估计是flag,但是看到了上面的验证逻辑,有个filehash值,按照格式把文件名的hash值搞出来,emmm看格式应该是MD5,但是不对。
但是别急,一共给了三个文件夹呢。查看第二个welcome.txt
发现了render。百度一波tornado render ,知道了有个渲染的东西,emmm暂时先不看那么细。
接着查看第三个文件
我说之前怎么不行!原来MD5值是文件名的MD5加上cookie_secret这个值,之后再MD5加密。
现在主要问题是咋能得到cookie_secret这个东西?
用关键字百度一波,结果出现了各种各样的WP。具体叫做easy_tornado render模板注入,之后进行知识总结,先放一个payload
error?msg={{handler.settings}}
之前测是fllllllllag这个文件的时候,爆出了这样的错误:
错误提示?msg=Error,然后页面上显示Error……
果然,给啥显示啥。(这个莫非就是传说中的模板注入?)
发现了cookie_secret,之后就按照上面的逻辑一步步进行MD5加密,然后填入对应GET传参即可。
这里这里这里一定要注意了:
- MD5加密之后显示的是大写英文字母,一定一定要变成小写才行!!!
- 本题目的一个坑文件名用flllllllllag不行!得用/fllllllllllag!!!我也是那flag.txt和/flag.txt测了好几遍猜发现。
/file?filename=/fllllllllllllag&filehash=b932fbc36b173d5d53963608b6bbc92c
即可获取payload!
下面进行知识点总结环节:
- MD5为啥一定要小写
- easy_tornado render模板注入
- cookie和cookie_secret
MD5加密大小写问题
要加密的字符串,大小写不一样,MD5值也不一样
但是要解密的字符串,大小写不影响破解出原字符串
搜了一下大佬们的回答
可能是不同数据库,默认的MD5值大小写不一样,MySQL就是默认小写,SQL server默认大写。。。应该是这样,如果不对希望路过的大哥们即使指正,不胜感激【狗头】
easy_tornado render模板注入
首先,啥是模板注入???
放个链接:https://www.cnblogs.com/cimuhuashuimu/p/11544455.html
emm简单理解的说,就是render这个模板有bug,通过构造payload可以获取我们想要的一些参数。
这个有点复杂,还涉及到了SSTI,之后慢慢细说,再放链接。
https://www.cnblogs.com/lktop/p/13775854.html
cookie和cookie_secret
python tornado中cookie_secret的生成方法
from base64 import b64encode
from uuid import uuid4
b64encode(uuid4().bytes + uuid4().bytes)
感觉 cookie_secret 应该是tornado特有的一个环境变量?(这个需要大佬指教)
另外附上一个py脚本,用于按照本体逻辑进行MD5加密
import hashlib
def md5encode(str):
m=hashlib.md5()
m.update(str)
return m.hexdigest()
name = '/fllllllllllllag'
secret = 'f5fa9a1e-18df-42a4-b8ff-5b170b176ba8'
name = name.encode()
str1 = md5encode((secret + md5encode(name)).encode())
print(str1)
每天写点python,有益身体健康【狗头】