web:[护网杯 2018]easy_tornado

题目

点进页面显示如下

点进去查看

有个render,结合题目名,可能是ssti

同时注意到url,无论点进哪个文件,url的格式都为file?filename=/xxx&filehash=xxx

所以结合hints.txt中的提示,filehash就是md5加密得到的,需要找到cookie_secret

先尝试一下是否存在ssti

构造payload

/file?filename=/fllllllllllllag&filehash={{2+2}}

报错,可能存在过滤

这里借助百度查到,Tornado框架的附属文件handler.settings中存在cookie_secret

构造payload

/error?msg={{handler.settings}}

得到cookie_secret

结合hints.txt中的提示:md5(cookie_secret+md5(filename))

即md5('c3ddd8d3-e964-4829-89f7-56323c16a796'+md5('/fllllllllllllag'))

可得到

php中间是"."

构造payload

/file?filename=/fllllllllllllag&filehash=3553b8005db70c9e5e401d3f3cd0a250

得到flag

总结

因为render()是tornado里的函数,可以生成html模板。是一个渲染函数 ,就是一个公式,能输出前端页面的公式。

tornado是用Python编写的Web服务器兼Web应用框架,简单来说就是用来生成模板的东西。和Python相关,和模板相关

参考文章链接:

[护网杯 2018]easy_tornado_超级兵_140的博客-CSDN博客

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值