easytornado题
tornado模块学习
分析题目
进入第一个文件可发现flag所在文件:
第二个文件没有什么有用的信息:
第三个文件,可以看出给定了md5的加密方式:
观察链接,直接将链接中的filename改为flag所在文件进行尝试:
?filename=/fllllllllllllag&filehash=0b88d5e3e2bc6061140786d3484429a3
界面显示error,则应该是链接出现某种错误,观察链接,发现新的参数msg,检验是否存在模块注入:
?msg={{2}}
发现,存在回显,但是不能进行命令执行
结合前面回显error可以判断,之所以回显error是因为后面的hash值错误,所以我们需要得到对应的hash值,即通过给出的md5加密方法,那么我们就需要在这个界面获取cookie_secret的值:
payload为:
/error?msg={{handler.settings}}
获取到cookie_secret之后,进行md5加密,获取到hash值
/file?filename=/fllllllllllllag&filehash=cf7163c6b68e2a00119400d0f601c09b
即可成功获取到flag值!