[护网杯 2018]easy_tornado 1

点击/flag.txt，说明flag在 /fllllllllllllag 里。

点击/welcome.txt，render()函数是渲染函数，进行服务器端渲染。
点击/hints.txt,出现：
reader()函数联想到模板注入：±*/等符号，都被过滤，^没被过滤，成功回显

根据：

搜素百度得Tornado框架的附属文件handler.settings中存在cookie_secret
尝试：error?msg={ {handler.settings}}
得到

结合之前访问/flag.txt、/welcome.txt、/hints.txt页面时后头都带了md5值，和/hints.txt给的信息：
cookie_secret为7c60754a-4491-4a1d-b2b9-fd6e679387ea
filename就是/fllllllllllllag，md5解密后为3bf9f6cf685a6dd8defadabfb41a03a1

解密网址

cookie_secret和filename连接后再进行md5加密
得88ee0d790f71a228eb4569a49080cd66
加密

尝试：file?filename=/fllllllllllllag&filehash=88ee0d790f71a228eb4569a49080cd66
得到