[护网杯 2018]easy_tornado

题目打开有三个链接

点第一个发现

第三个

猜测这里的filehash就是md5加密得到的，我们需要找到cookie_secret

在第二个链接中

有个render，而且题目是easy_tornado，可是SSTI

因为render（）是tornado里的函数，可以生成html模板。是一个渲染函数 ，就是一个公式，能输出前端页面的公式。

tornado是用Python编写的Web服务器兼Web应用框架，简单来说就是用来生成模板的东西。和Python相关，和模板相关

尝试

/file?filename=/fllllllllllllag&filehash={{1}}

发现

报错，可能存在过滤

然后我们需要找到cookie_secret

百度得到Tornado框架的附属文件handler.settings中存在cookie_secret

此时构造payload:

http://71b67625-1f9d-4e09-bcb6-cee825a1a3a5.node4.buuoj.cn:81/error?msg={{handler.settings}}

得到提示信息，得到cookie_secret:61375ac6-5e1d-4510-a256-12786c3e1f09

然后结合md5(cookie_secret+md5(filename))

即md5('61375ac6-5e1d-4510-a256-12786c3e1f09'+md5('/fllllllllllllag'))

得到

(注意使用php写的话中间的是 “.”)

然后得到payload：

/file?filename=/fllllllllllllag&filehash=17f40d52bf376fb1d8637095e2854997

得到flag