[护网杯 2018]easy_tornado
打开靶场
分别访问3个文件
flag.txt
其中说明了flag所在的文件
结合题目tornado 和 render查询资料,得到相关漏洞知识:python SSTI tornado render模板注入
提示filehash的格式
尝试直接访问
得到参数为?msg=xxx
参考上面的链接,尝试直接构造参数获取cookie_secret
?msg={{handler.settings}}
得到cookie_secret
最后根据hints.txt中提示的格式进行md5加密
遇到的问题:文件名需要包括/,即对/fllllllllllllag进行md5加密然后再将其和cookie_secret一起加密,将结果作为filehash的值传入得到flag