web-[护网杯 2018]easy_tornado
题目要点
ssti(服务端模板注入)
题目内容
打开链接
文件内容
/flag.txt
flag in /fllllllllllllag
/welcome.txt
render 生成模板的函数,想到模板注入STTI
/hints.txt
md5(cookie_secret+md5(filename))
解题
从题目我们可得知
flag位于 /fllllllllllllag,filehash加密方式为md5(cookie_secret+md5(filename))
所以我们要得到cookie_secret
尝试不修改filehash,只修改filename。报错
可以看到在报错的url中参数msg值为Error,然后界面就显示Error。
继续修改证实此处存在模板注入
在这里我们应该可以得到cookie_secret
handler.settings可以得到cookie_secretde的值(参考)
构造payload,得到flag