三个文件 依次查看
得知,flag所在url由 filename和filehash组成
file为 /fllllllllllllag
哈希值为 cookie密钥 + 文件名 md5加密获得
且发现,若哈希值与文件名不符,进入第四个页面,错误页面
并发现此页面存在模板注入
render为Python的渲染函数,且有
关于于cookie_secret
密钥存放于application.settings 中
模板注入,发现无法进入
但是由于render() 允许 别名
参考tornado的用户手册
requesthandler 又可替换为handler
注入得到密钥
接下来只要 通过md5加密即可得到哈希值
参考
Tornado中的Cookie设置:https://www.cnblogs.com/kainhuck/p/11441496.html
关于requesthandler和cookie详细见用户手册
https://www.tornadoweb.org/en/latest/guide/templates.html