打开靶机发现三个文件:
我们先看提示,hint.txt
这里提示需要找到cookie_ssecret这个值将它与用MD5加密后的文件名连接后再进用MD5加密
首先我们寻找cookie_secret这个值,因为题目名是tornado,而与其相关的就是python的web开发框架tornado。打开该框架的官方说明文档:Authentication and security — Tornado 6.3.2 documentationhttps://www.tornadoweb.org/en/stable/guide/security.html
可以发现cookie_secret参数是在tornado.web.Application的settings这个字典中的,一般可以通过tornado.web.Application.settings访问该参数所在字典,而tornado中可使用别名handler将前缀替换,故参数为handler.settings,在tornado中传参方式为 {{参数}} ,故构造{{handler.settings}}
试试使用filename变量进行传参:
报错了,不过出现了另一个参数^_^:
得到了cookie_secret的值,再来看看flag.txt,提示是 flag in /fllllllllllllag,故filename=/fllllllllllllag
然后按提示用在线加解密工具进行MD5运算即可得到一串hash值
可以看见在url中有两个变量,filename和filehash,那我们刚才运算得到的hash值应该就是/fllllllllllllag这个文件的hash值?不管了先试试。。。。
键入,回车,flag就来啦!