攻防世界 Web题--easytornado

一个个文件看过去：

已经可以看出一些端倪了，flag在   /fllllllllllllag   下，但后面需要跟上一个filehash参数，这个参数根据每个文件的名字不同而不同，具体的运算内容是/hints.txt中显示的算式。而要得到flag就应该是这样的式子： file?filename=/fllllllllllllag & filehash=md5(cookie_secret+md5(/fllllllllllllag))

缺的一个量就是cookie_secret，看了看还有两个条件没用，一个是题目提示的tornado以及welcome.txt中的render，看看能不能利用：

Tornado是一个用python编写的网络框架，其中，render方法用于将 模板文件（HTML 模板）与 数据 结合，生成最终的 HTML 页面返回给客户端

这里应该就是利用模板注入了，通过注入特殊的参数来获得值cookie_secret。哪里找模板注入的入口呢？我抓包尝试了下

发现这里有个Location，尝试一下：

成功找到模板注入的入口；上网搜索了下什么可以访问到tornado里的cookie_secret，给的解释有在 RequestHandler 中访问，而handler.settings 包含了 Tornado 应用启动时的所有配置项，这些配置在创建 Application 实例时通过关键字参数传入，并在每个 RequestHandler 实例中通过 self.settings 访问。

 得到cookie_secret:3f814ceb-5a64-4c86-8379-eaf2bfda1464

import hashlibcookie='3f814ceb-5a64-4c86-8379-eaf2bfda1464'
file='/fllllllllllllag'file=hashlib.md5(file.encode('utf-8')).hexdigest()
print(file)ans=cookie+file
ans=hashlib.md5(ans.encode('utf-8')).hexdigest()
print(ans)

得到filehash的结果：22df77a980f4e418d0e72c191e2f40a5