题目
点进页面显示如下
点进去查看
有个render,结合题目名,可能是ssti
同时注意到url,无论点进哪个文件,url的格式都为file?filename=/xxx&filehash=xxx
所以结合hints.txt中的提示,filehash就是md5加密得到的,需要找到cookie_secret
先尝试一下是否存在ssti
构造payload
/file?filename=/fllllllllllllag&filehash={{2+2}}
报错,可能存在过滤
这里借助百度查到,Tornado框架的附属文件handler.settings中存在cookie_secret
构造payload
/error?msg={{handler.settings}}
得到cookie_secret
结合hints.txt中的提示:md5(cookie_secret+md5(filename))
即md5('c3ddd8d3-e964-4829-89f7-56323c16a796'+md5('/fllllllllllllag'))
可得到
php中间是"."
构造payload
/file?filename=/fllllllllllllag&filehash=3553b8005db70c9e5e401d3f3cd0a250
得到flag
总结
因为render()是tornado里的函数,可以生成html模板。是一个渲染函数 ,就是一个公式,能输出前端页面的公式。
tornado是用Python编写的Web服务器兼Web应用框架,简单来说就是用来生成模板的东西。和Python相关,和模板相关
参考文章链接: