护网杯2018-easy_tornado

首先看题

里边的内容分别是

)

)

我们可以直接得出flag所在的文件夹是/fllllllllllllag

分析这三个的url

http://de0ee060-7c62-4c47-9155-96c35ec001fe.node3.buuoj.cn/file?filename=/flag.txt&filehash=3af0858a46186b7d343f7dd9419e1525

http://de0ee060-7c62-4c47-9155-96c35ec001fe.node3.buuoj.cn/file?filename=/welcome.txt&filehash=f9793be52dec6c36581bb8429f8c1039

http://de0ee060-7c62-4c47-9155-96c35ec001fe.node3.buuoj.cn/file?filename=/hints.txt&filehash=e9155f0f3d25f1ad639771ca93cb5e5d

我们可以得出这样的结论，flag所在文件的url应该是http://de0ee060-7c62-4c47-9155-96c35ec001fe.node3.buuoj.cn/file?filename=/fllllllllllllag&filehash=**

至于这个**应该就是md5(cookie_secret+md5(filename))

filename我们已经知道是fllllllllllllag，那么我们接下来只需要找到cookie_secret

利用burp抓包我们并没有找到cookie，只能上百度了……（那咋办嘛）

通过百度得知在error页面存在SSTI模板注入（又是一个看不懂的东西……）

附上关于SSTI模板注入的博客：SSTI完全学习

注入方式大概就是error?msg=0

……？？？？？？至于注入啥玩意儿，大佬说的是用handler.settings对象(这又是啥玩意儿，咱也不知道，咱也不敢问)

那么传递error?msg=

http://de0ee060-7c62-4c47-9155-96c35ec001fe.node3.buuoj.cn/error?msg=

得到这个回显

‘cookie_secret’: ‘66015e24-a274-4abf-bd65-6776ae208dc4’}

接下来构造

http://de0ee060-7c62-4c47-9155-96c35ec001fe.node3.buuoj.cn/file?filename=/fllllllllllllag&filehash=ee31ce84bedac7c8242d99b3047d4ad1

访问得到

我太难了….