护网杯Easy WEB writeup

漏洞分析 master 11个月前 (10-13) 487次浏览 已收录 0个评论 扫描二维码

首先打开地址看了下,有3个文本文档

护网杯Easy WEB  writeup

根据hint.txt 的内容提示和URL的特征“”/file?filename=hint.txt&signature=63c4df451363544257a93108682094ee“”基本确认signature的算法为md5(cookie_secret + md5(filename))

护网杯Easy WEB  writeup

在根据flag.txt 的内容提示,确定flag文件为“”/fllllllllllag ”

护网杯Easy WEB  writeup

那么根据得到的算法

md5(cookie_secret + md5(filename))

只要找到cookie_secret就可以算出signature的值,这么找到cookie_secret呢,我在error?msg=链接中发现了ssti注入(模板注入)

/error?msg=%E7%AD%BE%E5%90%8D%E9%94%99%E8%AF%AF

经过一段时间尝试,获取到cookie_secret

护网杯Easy WEB  writeup

剩下来的就简单了,算出md5值即可

md5(cookie_secret + md5(filename))

md5(%~AkCE{nN!iqTMduFt-?b@oGzyX9+O2*V>cgZa1RYHL)S7I.8J4[jveUlQ]f}_m5 + md5(/fllllllllllag))

即md5(%~AkCE{nN!iqTMduFt-?b@oGzyX9+O2*V>cgZa1RYHL)S7I.8J4[jveUlQ]f}_m53c3e1b98eec5eb168e6996b3e516520e)

signature=3208e68a3b5622776ebb7ac78101fae9

尝试获取flag

护网杯Easy WEB  writeup


Xss.lc私人博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:护网杯Easy WEB writeup
喜欢 (2)
master
关于作者:
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址