[护网杯 2018]easy_tornado1

提示

1. ssti模板注入
2. 通过找设置找到密匙

拿到题目首先就看到有提示flag.txt

查看flag.txt

这里可以看到flag在/fllllllllllllag里

查看/welcome.txt

render()函数是Django中的渲染，想到ssti模板注入(后续尝试filehash报错以后才发现的)

查看hints.txt

在hints.txt里可以看到这里的filehash是md5加密文件名在和cookie_secret密匙在加密一次才能访问

• 到这里我们的思路就因该是找cookie_secret密匙

随机乱改一下filehash居然出了Error页面

从这里开始怀疑是ssti模板注入

1. 因为测试模板注入是也是用大概{7*7}这样的页面会返回点东西,这里输入Error就直接返回Error
2. 用模板注入测试套路测试一下

有的Django站点会返回Server头

虽然不能百分百确认,但也能明确方向

找到cookie_secret

通过提示的handler(这里想起来有个handler函数)

bc182b1f-5004-4128-8088-673b6ec1d562

将md5加密后/fllllllllllllag和密匙拼接在加密

flag: flag{cb6d789b-5095-4bb0-b23d-1e692ec25386}