[护网杯 2018]easy_tornado

打开靶场

分别访问3个文件
flag.txt

其中说明了flag所在的文件

结合题目tornado 和 render查询资料，得到相关漏洞知识：python SSTI tornado render模板注入

提示filehash的格式
尝试直接访问

得到参数为?msg=xxx
参考上面的链接，尝试直接构造参数获取cookie_secret

?msg={{handler.settings}}

得到cookie_secret
最后根据hints.txt中提示的格式进行md5加密
遇到的问题：文件名需要包括/,即对/fllllllllllllag进行md5加密然后再将其和cookie_secret一起加密,将结果作为filehash的值传入得到flag