打开flag.txt
这应该是flag存放的路径
打开welcome.txt
提示rander 应该是rander模板注入
打开hints.txt
这一堆不知道有什么用 先放着
观察现在的网站路径
filename=/hints.txt
尝试直接包含/fllllllllllllag,失败
filehash=e3e7e9d9a0beafe360c7c4a2ef7844ed
filehash后面跟着的字符串是32位的,想到是md5加密后的值 联想到之前hints.txt中的内容
也就是md5(cookie_secret+md5(/hints.txt))
那么只要知道cookie_secret就行了
尝试解密e3e7e9d9a0beafe360c7c4a2ef7844ed,失败
那么如何获取cookie_secret呢
最后发现在报错页面存在模板注入
用handler.settings获取到了cookie_secret
去加密即可
文件包含得到flag
