打开页面三个超链接
/flag.txt
/welcome.txt
hints.txt
内容分别是
flag in /fllllllllllllag
render
md5(cookie_secret+md5(filename))
进入hints.txt注意到url地址此时为
/file?filename=/hints.txt&filehash=2a84a09bc1d5e3d8745131754ff208fa
再根据hints.txt文件的内容,推断可以使用url方式访问文件,但是需要提供filehash值,加密的方法即hints.txt的内容:md5(cookie_secret+md5(filename))。flag文件的名称filename有了,接下来就是获取cookie_secret的值。
接下来触及到盲区了,获取cookie_secret是看wp。
render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页 render配合Tornado使用
在tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量
获取cookie_secret的payload
/error?msg={{handler.settings}}
获得cookie_secret的值为
eb326d39-cd67-47bd-b2d3-71125996417b
根据hints.txt的url验证一下是如何加密的(其实是字符串直接拼接的)。
选中的蓝色部分是/hints.txt加密后的md5值。推断出filehash格式以后直接访问flag文件,payload:
/file?filename=/hints.txt&filehash=2a84a09bc1d5e3d8745131754ff208fa
扫一扫
3706
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
