BUUCTF WEB Havefun 1 && easy_tornado 1

BUUCTF WEB Havefun 1：
这个题就很简单了，进入页面之后直接查看源码：
然后右击查看源码发现：
虽然我也不知道syc是什么东西，但是我知道通过GET方式传入cat=dog试一下就知道了，结果flag就出现了。

那这个题就这样结束了。

BUUCTF WEB easy_tornado 1
这个题其实也考什么，我也没见过，就当作积累吧！
进去之后看到三个链接，点击去可以看见


这个地方我说一下，我在看别人的博客的时候，好多都提到了tornado这个东西，但是我不知道他们从哪里看到了，我真的只看到了render（也许是我眼瞎）
在尝试将flag.txt 换成/fllllllllllllag的时候，

且这个时候的url是：

http://e89d0933-5c85-4328-a1fe-52dca9c2fe16.node3.buuoj.cn/error?msg=Error

参数是msg，尝试模板注入，构造msg={ {handler.settings}}就可以得到

至于为什么这样构造，这个就是这个render模板的内容了，我也不是很了解，就当作积累吧。
在这里我们可以看到cookie_secret（可能每个人的cookie_secret不一样），然后根据刚才三个链接的提示进行md5值加密，（好多博客上都是写脚本，但是我是直接用hackbar进行转换的，谁叫我的脚本能力弱的可以呢）
将/fllllllllllllag进行md5加密后得到：

3bf9f6cf685a6dd8defadabfb41a03a1

然后将这个和cookie_secret拼接在一起得到：

c1341ff7-0a43-401b-8651-1d1cdbacc9243bf9f6cf685a6dd8defadabfb41a03a1

进行md5加密后得到：

fc269572f1283c864b45f7cab6886660

然后构造url为：

http://e89d0933-5c85-4328-a1fe-52dca9c2fe16.node3.buuoj.cn/file?filename=/fllllllllllllag&filehash=fc269572f1283c864b45f7cab6886660

就可以得到flag了