题目打开有三个链接
点第一个发现
第三个
猜测这里的filehash就是md5加密得到的,我们需要找到cookie_secret
在第二个链接中
有个render,而且题目是easy_tornado,可是SSTI
因为render()是tornado里的函数,可以生成html模板。是一个渲染函数 ,就是一个公式,能输出前端页面的公式。
tornado是用Python编写的Web服务器兼Web应用框架,简单来说就是用来生成模板的东西。和Python相关,和模板相关
尝试
/file?filename=/fllllllllllllag&filehash={{1}}
发现
报错,可能存在过滤
然后我们需要找到cookie_secret
百度得到Tornado框架的附属文件handler.settings中存在cookie_secret
此时构造payload:
http://71b67625-1f9d-4e09-bcb6-cee825a1a3a5.node4.buuoj.cn:81/error?msg={{handler.settings}}
得到提示信息,得到cookie_secret:61375ac6-5e1d-4510-a256-12786c3e1f09
然后结合md5(cookie_secret+md5(filename))
即md5('61375ac6-5e1d-4510-a256-12786c3e1f09'+md5('/fllllllllllllag'))
得到
(注意使用php写的话中间的是 “.”)
然后得到payload:
/file?filename=/fllllllllllllag&filehash=17f40d52bf376fb1d8637095e2854997
得到flag