XCTF easytornado

一.进入实验。

　　出现三个文件

　　

 

 

 　　分别访问这三个文件：

　　

 

　　这个文件感觉应该是flag的文件名。

 

 　　

 

 

 　　

 

 

 　　通过第三个文件我们可以知道只要知道了cookie_secret，就可以得到flag了。

　　根据签名的   文件名 /fllllllllllllag ，试图访问看看：发现报错

　　

 

 

 　　据了解tornado是python中的一个web应用框架，猜测可能存在SSTI

　　这里附上大佬的payload   /error?msg={{handler.settings}}

 

 

　　最后将cookie_sercret和md5加密后的filename拼接再md5加密，将该结果作为filehash的值传入，得到flag。