出现了三个链接
flag.txt
welcom.txt
hints.txt
由flag.txt得知,flag藏在/fllllllllllllag中,所以payload先构造一个 filename=/fllllllllllllag
再看第二个参数filehash,根据hints.txt可以知道加密方式为:cookie_secret加上经md5加密的filename,再将整体进行md5加密;
接下来只需找到cookie_secret的值;
对于/welcome.txt 提示内容:render,render是tornado里面的渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页 ,基本可以确定这是ssti(服务器模板注入),可以通过{{值}}进行传递变量
随意修改一个filename的值,页面就会报错
通过msg来传递参数
error?msg={{handler.settings}}
得到了cookie_secret的值
/fllllllllllllag的md5:3bf9f6cf685a6dd8defadabfb41a03a1
cookie_secret+md5(/fllllllllllllag)的md5:588af611772e112cb02036c18e4260e7
payload:file?filename=/fllllllllllllag&filehash=588af611772e112cb02036c18e4260e7
拿到flag