buu[护网杯 2018]easy_tornado
[护网杯 2018]easy_tornado
1.看看题目给了我们三个文件:
/flag.txt
| url=?filename=/flag.txt&filehash=98c6aac4fbecf1b8604767afad2b65ef |
告诉flag在/fllllllllllllag里面。
把fliename替换后报错:
/welcome.txt
| url=?filename=/welcome.txt&filehash=b974cea7b45f12a2d446e8e7843ce2fb |
题目是tornado它是一个用Python语言写成的Web服务器兼Web应用框架,而render是python中的一个渲染函数。//也就是一种模板,通过调用的参数不同,生成不同的网页。
这是一些关于python开发的知识,鄙人不才。
召唤大佬:
render函数介绍
tornado模板self.render和模板变量传递
/hint.txt
| url=?filename=/hints.txt&filehash=08ce25d3b83efc17e7462e06bc241d71 |
通过对比这三个文件,访问文件需要把fliename(文件名)MD5编码然后加上cookie_secret后再MD5编码。
1.经过测试发现可能模板注入:
//{{}}的用法
2.进一步测试:
datetime是指向python中的同名模块,用来快速访问对象,这里访问的是datetime.so
资料获取得知:cookie_secret在Application对象settings属性中
3.构造payload拿cookie_secret
4.然后计算filehash
5.成功拿下
PS:
1.Tornado入门教程
2.Tornado模板中的Handler
3.SSTI模板注入