进入靶场
出现了3个文件
点击看看
都点击看看
得知flag所在目录
render在 Web 开发框架中常常出现
cookie_secret 是一个用于对 Cookie 进行签名或加密的密钥。
意味着我们现在需要先找到 cookie_secret
在请求里有cookie,但都不显示cookie,反观三个文件点开后的url,奇奇怪怪,把从&开始的部分删掉看看出现新的页面
新页面没有,url倒是有一个
发现msg后面的和页面显示的一样,改它验证一下
这块应该就是模板的注入点
{ {6*6}}
本来应该显示36,但是并没有,应该存在过滤机制
换一个
{ {handler.settings}}
用于输出配置信息
'cookie_secret': 'd5ce5011-ce0a-4283-b376-34b6eaa9c7d7'
这不就妥了吗,都有了,直接MD5
发现括号位置有点东西
md5(cookie secret+md5(filename))
先对文件名MD5,再把它和cookie secret组合,再去MD5
594cb6af684ad354b4a59ac496473990
组合
d5ce5011-ce0a-4283-b376-34b6eaa9c7d7594cb6af684ad354b4a59ac496473990
再加密
f2ceb75c80c6d0db5e0c5318325aa206
传参的时候发现不行,回顾了一下文件名里少了个/,我还以为/是在提示路径
不过之前的文件名里也都有/,怪自己不细心
重来
3bf9f6cf685a6dd8defadabfb41a03a1
拼接一下
d5ce5011-ce0a-4283-b376-34b6eaa9c7d73bf9f6cf685a6dd8defadabfb41a03a1
698c511838b50e22b292ed57c15d488f
笔记
- Tornado 模板注入:Tornado 是 Python 的一个 Web 框架,自带模板引擎。当 Tornado 应用对用户输入处理不当时,就可能出现模板注入。在 Tornado 模板中,
{ {}}用于表达式输出,{% %}用于控制语句(如循环、条件判断等)。攻击者可以构造恶意输入,如{ {handler.settings}}来获取应用的配置信息,或者利用更复杂的表达式执行系统命令等。
