進入題目

有三個txt檔案，我們分別點選。

第一個/flag.txt

他說flag 在/fllllllllllllag裡面，那我們訪問一下看看

回車後發現

報了一個error，且在瀏覽器上有回顯，那判斷這裡是否存在模板注入呢，我們可以試一試，把error換成123看瀏覽器是否還存在回顯。

還是有回顯，初步證明這裡是存在模板注入的。但是知道有模板注入沒有更多的資訊了，所以我們只好先放這裡了。繼續看其他目錄。

第二個/welcome.txt

第二個是一個render，這個render是什麼呢，不知道，所以我特意去Tomado的官網看了看render的作用官網連結給大家放這裡了

https://www.tornadoweb.org/en/stable/

發現render是一個Tomado框架的一個渲染函式，即可以通過傳遞不同的引數形成不同的頁面。

第三個/hints.txt

看到一個式子，先把filename給MD5加密一遍，然後加上cookie_secret然後總體在MD5加密一遍，filename我們知道是/fllllllllllllag現在只有cookie_secret不知道，那麼我們現在就是想辦法獲取cookie_secret值，這個時候我們又想起我們第二個目錄時的render渲染函式，那我們可以去Tomado官網看看cookie_secret是在那個函式裡面，通過查閱文件可以構造payload

/error?msg={{handler.settings}}

來過去到cookie_secret如圖。

現在把filename給MD5加密然後再加上cookie_secret再MD5加密一次然後構造payload即可拿到flag！