3.easy_tornado
1.打开网页发现三个文件:
2. 依次打开:
2.1 flag.txt
2.2 welcome.txt
2.3 hints.txt
根据hints.txt可以发现每个文件打开都需要md5(cookie_secret+md5(filename))
而此时cookie_secrect不知道,http请求包中也没有。所以现在的首要思路就是找到cookie_secrect
2.4查看大佬们的wp
welcome提示了render,render是python的一个模板,所以考虑是否存在模板注入。
关于模板注入的文章。
2.5 判断是否存在注入
error?msg=
1^0为0说明执行了表达式。存在注入
2.6 cookie_secret存在于handler.settings中,直接payload:
error?msg=
得到cookie_secret。
2.7 根据hint提示:filehash=md5(cookie_secret+md5(filename))
所以payload:
file?filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(/fllllllllllllag)) (此处需要算出md5值)
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 h11ba1's blog!
评论