题目
访问题目路径
分别点击一下看看
然后我去百度了一下md5(cookie_secret+md5(filename))发现这是一个叫模板注入的东西
什么是模板
简单来说,就是网站内容的动态部分,如果有一个网站的内容几乎相同,但只有某些部分发生改变,那么他们很有可能使用了模板
模板看起来如下:hello{user.name} 他们有一个静态罐和一个动态罐,hello为静态罐,{}里的内容为动态罐
这就是为什么编译器如何是知道该部分是动态的,另外需要注意的是,并非是所有模板看起来都是像上面那样,列如:hello{{user.name}}
这是一个名为jinja模板引擎的示例,用流行的python框架(如django和flask)所使用
什么是模板注入
它就是存在于web应用中的注入漏洞,例如:
template = "Bio: {{ user.bio }}" render(template)
如果使用此模板显示用户的输入,那么它是完全安全的,因为我们所做的只是从数据库中获取当前用户的信息,然后将其返回给用户,但下面这个例子就不太一样了:
template = "Bio: " + USER_INPUT render(template)
如果用户的输入的成为模板的一部分,那么我们就有一个大问题,因为模板有能力执行任意代码,所以用户可以在服务器上获得一个shell
这种漏洞通常被称为服务器模板注入,攻击者可以在其中注入恶意模板代码来获得shell,但需要注意的一点是,她不仅限于服务器,只要模板可用,漏洞就可以存在于任何地方
那我们返回原题看看
这里就是出现的意思是cookie_secret+md5(filename)才能读取文件中的内容,md5(filename)比较好获得,但是cookie_secret我们却完全不知道如何获得,然后我看来大佬的wp发现存在了
error?msg={{handler.settings}}这里是一个tornado render模板注入漏洞
tornado render模板注入
tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。
根据这个模板注入漏洞我们就行得出cookie_secret的值了
error?msg={{handler.settings}}
接下来我只需要进行 cookie_secret+md5(filename)即可
我们这里要小写的32位加密,进行cookie_secret+md5(filename)拼接
构造payload
/file?filename=/fllllllllllllag&filehash=725fcceacec29f3e90c03def6c8e6264
