[护网杯 2018]easy_tornado
[护网杯 2018]easy_tornado
审题
一共有3个界面
-
flag.txt
![image-20240313203456786]()
-
welcome.txt
![image-20240313203605486]()
-
hint.txt
![image-20240313203630934]()
通过审题得知,flag位于/flllllllllag中,要使用ssti注入,其加密方式为md5(cookie_secret+md5(filename))
知识点
tornado模版注入
解题
看到filehash猜测其为加密后的结果
所以应该是修改它。
查看/fllllllllllllag界面返回error猜测由于filehash错误导致
使用{{1}}看到回显为
而使用{{5*5}}返回
证明为tornado模版注入。
构造{{handler.settings}},快速查看文件信息
得到cookie_secret
通过在线工具构造filehash,
得到flag
浙公网安备 33010602011771号