easytornado
今天白天去挖洞了,沒做題,真的是臉黑= =,一直到下午才發現了個任意密碼重置。
晚上好困,不適合做其他事情,就來做題了。后邊做題量可能會減少,又有事情要忙了。
看題,這道題是關於python的后台框架tornado的,(我用過django和flask,但沒用過這個,不那么親切。)
進來看到三個標簽
挨着點進去看了一下
/flag.txt里是flag in /fllllllllllllag(告訴flag在哪,名字是什么
/welcome.txt里是render(不知道有什么用
/hints.txt里是md5(cookie_secret+md5(filename))(告訴url里的filehash是怎么計算的
沒什么頭緒,直接訪問/file?filename=/fllllllllllllag&filehash=9c5ad79deed65ab051dd902de00056fe
有報錯
隨手在url加了個單引號 回車,顯示了ORZ????
猜測是出了什么錯誤,打了幾個sqli的payload,沒有收獲
忽然想起昨天寫過的ssti漏洞,試一下
結果失敗了,我又試了其他手法,都失敗了,不知道問題在哪
於是去搜tornado漏洞,看到了一篇wp
大概說的是,在Tornado里,應用的設置可以通過handler.settings訪問。
拿到cookie_secret
拿到cookie_secret之后,按照md5(cookie_secret+md5(filename))算一下就可以了
最后訪問/file?filename=/fllllllllllllag&filehash=xxxxxxxxx即可