护网杯-easy_tornado
进入题目网站,发现三个文件
首先进入第一个文件Orz.txt,发现提示渲染函数render(),直接将文件内容显示在网页上
再进入第二个文件hint.txt,发现提示md5(cookie_secret + md5(filename)),即先将filenamemd5加密,再将cookie_secret与md5加密后的filename进行md5加密,也就是说,目前我们需要知道的是filename和cookie_secret
之后,再进入第三个文件flag.txt,发现提示像文件名/fllllllllllag,
于是考虑filename=/fllllllllllag
但是提示有签名错误,发现/error?msg=签名错误,考虑服务端模板注入(ssti攻击)
尝试输入/error?msg={{1}},确实是存在模板注入
尝试输入/error?msg={{7*7}},不存在运算
之后进行各种尝试与资料获取发现对于tornado框架存在附属文件handler.settings,于是尝试输入/error?msg={{handler.settings}}
发现 ‘cookie_secret’:
'1B]c{ey<lzkHJGipa+X[Kn?Wd08C(&*TUZ4g6wrfMSRoQ7h^%V-5bAvm2Px>~I9_'
于是进行前面所分析的md5加密
最后输入?filename=/fllllllllllag&signature=20e954ed0f6c471e2ea1f151c7bb6334
得到flag
-
PS:
-
有关于渲染函数render():
-
有关于服务端模板注入(ssti攻击):
-
有关于tornado:
https://blog.****.net/belalds/article/details/80575755
有关于Tornado.web.Application的settings参数:
-