[极客大挑战 2019]Knife

网页里的提示已经很明显了，就是要用shell，一句话木马也给你写好了。那就打开蚁剑或者中国菜刀，URL地址就是这个网页的地址，连接密码是Syc，其它的保持默认即可。连接上后查看系统文件就能找到flag

[护网杯 2018]easy_tornado

点进网页是三个文件，我们一个一个查看

flag.txt提示我们flag在fllllllllag文件里，而且我们看到URL里还要求了文件的哈希值，也就是说我们要读取fllllllllag文件就必须要知道它的哈希值。

welcome.txt和hints.txt就提示了我们hash的构造方法：md5(cookie secret+md5(filename))，那么我们就只要把cookie secret解出来就行了

但是这一步真的很头疼，看到网上的解法都说是python模板注入，可我还不懂这个知识点啊，就趁着这个机会去学了一下。
URL后缀添加/error?msg=可以让页面有回显，就通过这个漏洞去读取服务器上的文件
Tornado提供了一些对象别名来快速访问对象，但是要找到cookie secret在哪个文件里还是要花一番功夫的，所以我这里看了网上大佬的wp。payload为/error?msg={{handler.settings}}（{{}}是变量取值的意思），读取到了cookie_secret，接下来就只要构造flllllllag的hash就行了

这里注意filename是/fllllllllllllag要把前面的斜杠也算上

参考：https://www.jianshu.com/p/9d50dcd869ee
https://www.jianshu.com/p/aef2ae0498df