根据提供的三个文件可以知道,flag在fllllllllag目录下;根据题目tornado 还有提示render知道,这大概念是考模板注入{{}} ;然后观看URL发现,可以猜测:
这道题需要构造/file?filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(filename))
当然在此之前用{{}}来注入会发现每次都会跳到error?msg
在这里构造{{1}}就会返回一个值;大可判定就是模板注入;关于render渲染函数知识
所以就是把cookie_secret找到,与/fllllllllllllag的md5加密连起来再md5加密是我们需要下一步做的事情;看了好多大佬的wp,说百度tornado的官方文档会发现cookie 在handler.settings中;这里主要参考wpBUUCTF [护网杯 2018]easy_tornado 1_wow小华的博客-CSDN博客
找cookie_secret小白属实有点难度;
然后构造{{handler.settings}}
就可以发现cookie;cookie值会一直变;
复制下来,和/fllllllllllllag的md5值连起来再用md5加密;可以使用在线md5加密工具;
/fllllllllllllag的md5加密为3bf9f6cf685a6dd8defadabfb41a03a1
则md5加密:be56489f-17ee-4533-950b-0d74e4be4ecc3bf9f6cf685a6dd8defadabfb41a03a1
结果为:d305cf647ad41991edefbec04f38263d
则构造payload:
file?filename=/fllllllllllllag&filehash=d305cf647ad41991edefbec04f38263d
此题主要还是要知道模板注入;{{}}
难点是cookie的查找;属实不会;