20211015

[护网杯 2018]easy_tornado

模板注入

先看提示,发现hints和/fllllllllllllag,根据url猜测是任意文件读取,研究后面参数,看hints,发现render,研究研究啥玩意

render是一个类似模板的东西,可以使用不同的参数来访问网页

在tornado模板中,存在一些可以访问的快速对象,例如 {{handler.settings}}

这两个{{}}和这个字典对象也许大家就看出来了,没错就是这个handler.settings对象
handler 指向RequestHandler

而RequestHandler.settings又指向self.application.settings

所有handler.settings就指向RequestHandler.application.settings

可以获得一些设置

然后成功获得cookie_secret,md5获得hash值即可

在msg页面可以实现模板注入