[护网杯 2018]easy_tornado
Step
靶机页面
/flag.txt
/welcome.txt
/hints.txt
其中:
/flag.txt
flag in /fllllllllllllag
/hints.txt
md5(cookie_secret+md5(filename))
链接
url/file?filename=/welcome.txt&filehash=0d57a014b2bc88b9c6f12277495dwww
其中filehash则是如上的md5散列值
所以需要获取cookie_secret
由题目知本题是tornado模板注入
当修改filehash后,页面显示Error,链接变成
/error?msg=Error
这时修改msg的参数为1发现页面显示1,可以注入
/error?msg={{handler.settings}}
回显得到cookie_secret
然后MD5,其中md5的filename是/fllllllllllllag
,而不是fllllllllllllag
然后带入这个filehash就能得到最后的flag了