目录

[ACTF2020 新生赛]BackupFile 1

1.打开页面，叫我们去找源文件

2.想到用disearch扫描，发现源文件index.php.bak

3.访问这个文件，下载一个文件，用记事本打开

4.翻译php代码

5.构造payload url+/?key=123，得到flag

[极客大挑战 2019]BuyFlag 1

1.进入PAYFLAG，提示我们如果想要买到flag，你必须是一个来自CUIT的学生而且你必须答出正确的密码

2.先查看源代码,发现一串代码，翻译这串代码。 

3.看到指定的名字，会不由的想到用抓包，来修改cookie，将user的0改为1，对名字进行了绕过，然后它提示要输入password

4.输入password，并对is_numeric()函数进行绕过，绕过成功之后，需要支付买flag的钱

5.输入所需的钱，提示说长度太长，想到strcmp()函数漏洞

6.绕过所有函数之后，得到flag

tornado%201-toc" style="margin-left:0px;">[护网杯 2018]easy_tornado 1

1.通过观察三个文件的内容

tornado%E9%87%8C%E7%9A%84%E5%87%BD%E6%95%B0%EF%BC%8C%E5%8F%AF%E4%BB%A5%E7%94%9F%E6%88%90html%E6%A8%A1%E6%9D%BF%E3%80%82%E6%98%AF%E4%B8%80%E4%B8%AA%E6%B8%B2%E6%9F%93%E5%87%BD%E6%95%B0%20%EF%BC%8C%E5%B0%B1%E6%98%AF%E4%B8%80%E4%B8%AA%E5%85%AC%E5%BC%8F%EF%BC%8C%E8%83%BD%E8%BE%93%E5%87%BA%E5%89%8D%E7%AB%AF%E9%A1%B5%E9%9D%A2%E7%9A%84%E5%85%AC%E5%BC%8F%E3%80%82-toc" style="margin-left:80px;">2.cookie_secret在welcome.txt中有提示

3.进行初次尝试，构造payload:url+/file?filename=/fllllllllllllag&filehash={{1}}。

 4.构造payload:error?msg={{handler.settings}}，找到cookie_secret​

5.用python脚本跑一下，得到flag

---

[ACTF2020 新生赛]BackupFile 1

信息搜集常见的后缀名：

“.git”、“.svn”、“ .swp”、 “.~”、“.bak”、“.bash_history”、“.bkf”

1.打开页面，叫我们去找源文件

2.想到用disearch扫描，发现源文件index.php.bak

3.访问这个文件，下载一个文件，用记事本打开

4.翻译php代码，并在网站进行操作，对代码翻译后，大致操作就是传一个"key"，它必须是数字而且是整数，如果它等于定义的字符串$str，就会输出flag

翻译代码为：
<?php
include_once "flag.php"; //这一行使用 include_once 函数来包含（或插入）另一个 PHP 文件 "flag.php" 的内容。include_once 确保文件只被包含一次，即使它在多个地方被调用。这意味着 "flag.php" 文件中定义的任何变量或函数都将在当前文件中可用。if(isset($_GET['key']))  //这一行检查 GET 请求中是否存在名为 'key' 的参数。$_GET 是一个 PHP 超全局变量，用于收集表单数据（HTML 表单）在 URL（地址栏）中发送的变量。isset() 函数检查变量是否设置且不为 NULL。
{$key = $_GET['key'];  //如果 'key' 参数存在，这行代码将其值赋给 $key 变量。if(!is_numeric($key)) {exit("Just num!");  //这两行代码检查 $key 是否为数字。如果不是数字，is_numeric() 函 数返回 false，然后 exit("Just num!") 将终止脚本执行并输出 "Just num!"。}$key = intval($key);   //这行代码使用 intval() 函数将 $key 转换为整数。如果 $key 是数字 或数字字符串，intval() 将返回该数字的整数形式。$str = "123ffwsfwefwf24r2f32ir23jrw923rskfjwtsw54w3";  //这行代码定义了一个字符串 $str，它包含数字和字符的组合。if($key == $str) {echo $flag;  //这两行代码检查 $key 是否等于 $str。如果相等，它将输出 $flag 的值。由 于 $str 是一个包含非数字字符的字符串，这意味着只有在 $key 也是一个包含 相同字符的字符串时，这个条件才会为真。}
}
else 
{echo "Try to find out source file!";   //如果 GET 请求中没有 'key' 参数，这个 else 块将 执行，输出 "Try to find out source file!"。
}

5.构造payload url+/?key=123，得到flag

[极客大挑战 2019]BuyFlag 1

1.进入PAYFLAG，提示我们如果想要买到flag，你必须是一个来自CUIT的学生而且你必须答出正确的密码

2.先查看源代码,发现一串代码，翻译这串代码。 

is_numeric() 函数用于检测变量是否为数字或数字字符串。

大致可翻译为检查你是否用post传了一个‘password’的参数，并将把它赋值给变量$password，传参之后，看password是否是数字，若是数字，则输出"password can't be number"，elseif它检查$password是否严格等于数字404,若等于404，就输出“Password Right!” 

3.看到指定的名字，会不由的想到用抓包，来修改cookie，将user的0改为1，对名字进行了绕过，然后它提示要输入password

注意：抓包是抓hackbar，post传参之后的包，不然没有回显的结果

4.输入password，并对is_numeric()函数进行绕过，绕过成功之后，需要支付买flag的钱

is_numberic()函数漏洞：is_numeric函数对于空字符%00，无论是%00放在前后都可以判断为非数值，而%20空格字符只能放在数值后。

5.输入所需的钱，提示说长度太长，想到strcmp()函数漏洞

strcmp(str1,str2)函数，当str1>str2返回值大于0，否则返回值小于0，等于则返回值为0。由于strcmp()函数传入参数为字符串，如果传入其他类型的变量会报错但是此时返回值为0，所以我们一般传入一个数组进行绕过。

6.绕过所有函数之后，得到flag

tornado%201">[护网杯 2018]easy_tornado 1

1.通过观察三个文件的内容，可以得到三个页面都有filename和filehash这两个参数，flag在ffllllllllllllag中，推测这里flag应该是在filename=/ffllllllllllllag&filehash=md5(cookie_secret+md5(filename))中

tornado%E9%87%8C%E7%9A%84%E5%87%BD%E6%95%B0%EF%BC%8C%E5%8F%AF%E4%BB%A5%E7%94%9F%E6%88%90html%E6%A8%A1%E6%9D%BF%E3%80%82%E6%98%AF%E4%B8%80%E4%B8%AA%E6%B8%B2%E6%9F%93%E5%87%BD%E6%95%B0%20%EF%BC%8C%E5%B0%B1%E6%98%AF%E4%B8%80%E4%B8%AA%E5%85%AC%E5%BC%8F%EF%BC%8C%E8%83%BD%E8%BE%93%E5%87%BA%E5%89%8D%E7%AB%AF%E9%A1%B5%E9%9D%A2%E7%9A%84%E5%85%AC%E5%BC%8F%E3%80%82" style="background-color:transparent;">2.cookie_secret在welcome.txt中有提示，render()函数进行服务器端渲染，render（）是tornado里的函数，可以生成html模板。是一个渲染函数 ，就是一个公式，能输出前端页面的公式。

扩展：SSTI注入

SSTI就是服务器端模板注入(Server-Side Template Injection)，也给出了一个注入的概念。

服务端模板：相当于很多公式，根据变量输出结果。这里的模板就是模板引擎根据数据自动生成前端页面。

常见的注入有：SQL 注入，XSS 注入，XPATH 注入，XML注入，代码注入，命令注入等等。sql注入已经出世很多年了，对于sql注入的概念和原理很多人应该是相当清楚了，SSTI也是注入类的漏洞，其成因其实是可以类比于sql注入的。

sql注入是从用户获得一个输入，然后又后端脚本语言进行数据库查询，所以可以利用输入来拼接我们想要的sql语句，当然现在的sql注入防范做得已经很好了，然而随之而来的是更多的漏洞。

SSTI也是获取了一个输入，然后在后端的渲染处理上进行了语句的拼接，然后执行。错误的执行了用户输入。类比于 sql
注入。当然还是和sql注入有所不同的，SSTI利用的是现在的网站模板引擎(下面会提到)，主要针对python、php、java的一些网站处理框架，比如Python的jinja2
mako tornado django，php的smarty twig，java的jade
velocity。当这些框架对运用渲染函数生成html的时候会出现SSTI的问题

参考：SSTI完全学习-CSDN博客

对render()函数的介绍：

参考：【前端基础知识】最基础的render渲染函数知识，一看就会_前端render-CSDN博客

render 函数 跟 模板（template） 都是用来创建 html 模板的，Vue 推荐在绝大多数情况下使用模板（template）来创建你的 HTML。然而在一些场景中，你真的需要 JavaScript 的完全编程的能力。这时你可以用渲染函数，它比模板更接近编译器。

函数template与render函数的对比： 

3.进行初次尝试，构造payload:url+/file?filename=/fllllllllllllag&filehash={{1}}，由welcome.txt的render也能得知，render是python的一个渲染函数，服务端在响应 http 请求的时候，去向模板中渲染数据，可以把视图响应给客户端，验证了SSTI的猜测。

模板注入必须通过传输型如{{xxx}}的执行命令。探测方式很简单，给一个参数赋值{{22*22}}返回484则必然存在模板注入。但是当我们输入error?msg={{1}}就可以得到回显，说明此处是存在SSTI注入漏洞的。

tornado的相关资料： 

tornado.web — RequestHandler 和 Application 类 — Tornado 4.3 文档

 4.构造payload:error?msg={{handler.settings}}，找到cookie_secret

查找tornado，发现cookie_secret保存在settings里，handler是别名，指向RequestHandler而RequestHandler.settings又指向self.application.settings，所以handler.settings就指向RequestHandler.application.settings了。

 5.用python脚本跑一下，得到flag