进入靶机后发现了三个文件,分别是
flag.txt welcome.txt hints.txt
flag.txt
welcome.txt
hints.txt
根据 flag.txt 和 hints.txt 的提示我们得出flag在/fllllllllllllag里面
但是我们直接访问/fllllllllllllag是访问不通的,会报错
也得出一个结论还需要得到filehash的值
但是观察url和这个回显界面会发现有问题
试试ssti注入
在msg后面输入{{7*7}}
回显了orz,回想welcome.txt 有提示render
tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。
在tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量
由此得到payload为
/error?msg={{handler.settings}}
有了cookie_secret后根据hints.txt
得到了filehash
/fllllllllllllag md5加密后为 3bf9f6cf685a6dd8defadabfb41a03a1
57eebaf9-2fbb-43c8-a065-bf7f0f3b83c757eebaf9-2fbb-43c8-a065-bf7f0f3b83c7 md5加密后为 cc2dadd5a9a7ad5346f07b2782553b62
/file?filename=/fllllllllllllag&filehash=cc2dadd5a9a7ad5346f07b2782553b62