1.打开页面,发现三个选项
2.打开flag.txt
提示flag在/fllllllllllllag中
3.打开welcome.txt
不知道什么意思,先往后看
4.打开hints.txt
这里给出了一个加密方式,结合url中的filehash,可知要获取flag需要先获取cookie_secret,并将其与/fllllllllllllag组合加密输入到filehash中。
结合题目,猜测是tornado模板注入
5.任意修改filehash看看回显
在这里可以确定是tornado模板注入,构造payload获取cookie_secret
payload如下:
error?msg={{handler.settings}}
成功获取cookie_secret为:0ce3494f-808b-425f-b54d-dc059328e674
6.按照题目给的模板进行md5加密,最终的filehash值如下
payload:/file?filename=/fllllllllllllag&filehash=610c1ceac62cfa586f4675fe5f801219
7.获取flag