打开题目,获得三个txt文件
/flag.txt
/welcome.txt
/hints.txt
逐个查看
/flag.txt
flag in /fllllllllllllag
/welcome.txt
render
/hints.txt
md5(cookie_secret+md5(filename))
注意网址
file?filename=/hints.txt&filehash=a5e3bf0b05c444070549eeced63bdeab
那么我们应该是要访问
file?filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(filename))
接下来的问题是cookie_secret要从哪里获得
注意题目的名字,tornado是python的web框架
搜索"tornado cookie_secret",可以知道cookie_secret是用来防止cookie被篡改的。
要么拿到cookie_secret的值,要么有什么方法可以绕过校验cookie?
尝试无hash值访问flag,结果得到
Error
注意此时的网址,这是一个很蹊跷的网址
error?msg=Error
传递一个名为msg的参数?
尝试修改
error?msg=12345
回显
12345
结合welcome.txt提示的render,那么这应该是服务端渲染处理产生的网页,可以借此得到cookie_secret
tronado模板语法规则为{{ expression }}
那么尝试
error?msg={{handler.settings}}
回显
{‘autoreload’: True, ‘compiled_template_cache’: False, ‘cookie_secret’: ‘077d7766-0bc3-4c19-8fb7-c2cfa2921e7a’}
用提示的加密方法得到filehash即可得到flag