1.打开网页发现三个文件:

1.1

2. 依次打开:

2.1 flag.txt

2.1.1

2.2 welcome.txt

2.2.1

2.3 hints.txt

2.3.1

根据hints.txt可以发现每个文件打开都需要md5(cookie_secret+md5(filename))

而此时cookie_secrect不知道,http请求包中也没有。所以现在的首要思路就是找到cookie_secrect

2.4查看大佬们的wp

welcome提示了render,render是python的一个模板,所以考虑是否存在模板注入。

关于模板注入的文章。

https://www.k0rz3n.com/2018/11/12/%E4%B8%80%E7%AF%87%E6%96%87%E7%AB%A0%E5%B8%A6%E4%BD%A0%E7%90%86%E8%A7%A3%E6%BC%8F%E6%B4%9E%E4%B9%8BSSTI%E6%BC%8F%E6%B4%9E/

2.5 判断是否存在注入

error?msg=

2.5.1

1^0为0说明执行了表达式。存在注入

error?msg=

2.6.1

得到cookie_secret。

所以payload:

file?filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(/fllllllllllllag)) (此处需要算出md5值)