BUUCTF | easy_tornado

第一次遇到模板注入的题,赶紧记笔记,此篇相当于对大佬的做法的复现Orz,师傅太强了https://blog.csdn.net/weixin_44255856/article/details/97687299,这道题出自

2018的护网杯


 

 

 在hints里看到条件,猜测  ” filename=/fllllllllllllag&filehash=?“,只要构造出这个就行了,但是现在还缺一个cookie_secret

一开始还以为是自己的cookie,构造好提交出现了一个新的界面 

菜鸡无奈开始寻求wp,才知道这个error界面就是注入点!!!当然也怪自己,没有留一个心眼,查一下 "render" ,“tornado”这两个关键字(;´д`)ゞ

?msg={{handler.settings}}

 

?filename=/fllllllllllllag&filehash=78862cd633ce3a864d49ee092d06262d

 

 


资料:

SSTI模板注入:这一篇作者详细的介绍了什么是模板,为什么要用模板,相当的扫盲,强推

Twig 模板引擎注入原理:

 <?php

    require_once dirname(__FILE__).'/../lib/Twig/Autoloader.php';
    Twig_Autoloader::register(true);
    $twig = new Twig_Environment(new Twig_Loader_String());
    $output = $twig->render("Hello {{name}}", array("name" => $_GET["name"]));  // 将用户输入作为模版变量的值
    echo $output;
?>

  使用 Twig 模版引擎渲染页面,其中模版含有 {{name}} 变量,其模版变量值来自于 GET 请求参数 $_GET["name"]。显然这段代码并没有什么问题,即使你想通过 name 参数传递一段 JavaScript 代码给服务端进行渲染,也许你会认为这里可以进行 XSS,但是由于模版引擎一般都默认对渲染的变量值进行编码和转义,所以并不会造成跨站脚本攻击:

但是,如果渲染的模版内容受到用户的控制,情况就不一样了。修改代码为:

    <?php
require_once dirname(__FILE__).'/../lib/Twig/Autoloader.php' Twig_Autoloader::register(true); $twig = new Twig_Environment(new Twig_Loader_String()); $output = $twig->render("Hello {$_GET['name']}"); // 将用户输入作为模版内容的一部分 echo $output;
?>
 

上面这段代码在构建模版时,拼接了用户输入作为模板的内容,现在如果再向服务端直接传递 JavaScript 代码,用户输入会原样输出,测试结果显而易见。在 Twig 模板引擎里, {{var}}  除了可以输出传递的变量以外,还能执行一些基本的表达式然后将其结果作为该模板变量的值,例如这里用户输入 name={{2*10}} ,则在服务端拼接的模版内容为:

这里简单分析一下,由于 {# comment #}  作为 Twig 模板引擎的默认注释形式,所以在前端输出的时候并不会显示,而 {{2*8}}  作为模板变量最终会返回 16  作为其值进行显示,因此前端最终会返回内容 Hello IsVuln16OK ,如下图:


作者:帅猪佩奇链接:https://www.jianshu.com/p/aef2ae0498df 来源:简书  著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

 

 

Python神级框架框架Tornado入门体验:详细的介绍了tornado框架

一个普通的tornado web服务器通常由四大组件组成。

  1. ioloop实例,它是全局的tornado事件循环,是服务器的引擎核心,示例中tornado.ioloop.IOLoop.current()就是默认的tornado ioloop实例。
  2. app实例,它代表着一个完成的后端app,它会挂接一个服务端套接字端口对外提供服务。一个ioloop实例里面可以有多个app实例,示例中只有1个,实际上可以允许多个,不过一般几乎不会使用多个。
  3. handler类,它代表着业务逻辑,我们进行服务端开发时就是编写一堆一堆的handler用来服务客户端请求
  4. 路由表,它将指定的url规则和handler挂接起来,形成一个路由映射表。当请求到来时,根据请求的访问url查询路由映射表来找到相应的业务handler。

这四大组件的关系是,一个ioloop包含多个app(管理多个服务端口),一个app包含一个路由表,一个路由表包含多个handler。ioloop是服务的引擎核心,它是发动机,负责接收和响应客户端请求,负责驱动业务handler的运行,负责服务器内部定时任务的执行。

当一个请求到来时,ioloop读取这个请求解包成一个http请求对象,找到该套接字上对应app的路由表,通过请求对象的url查询路由表中挂接的handler,然后执行handler。handler方法执行后一般会返回一个对象,ioloop负责将对象包装成http响应对象序列化发送给客户端。


 

作者:Python小老弟 链接:https://www.jianshu.com/p/d1085dbf321f 来源:简书 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

 

Python中从服务端模板注入到沙盒逃逸的源码探索 (一):介绍了python的两个模板引擎——Tornado,Flask

因此,通过handler.application即可访问整个Tornado。简单而言通过{{handler.application.settings}}或者{{handler.settings}}就可获得settings中的cookie_secret

class ErrorHandler(tornado.web.RequestHandler):
    def get(self):
        msg = self.get_argument('msg', 'Error')
        bans = ["\"", "'", "[", "]", "_", "|", "import", "os", "(", ")", "+", "-", "*", "/", "\\", "%", "="]
        for ban in bans:
            if ban in msg:
                self.finish("ORZ")
        with open("error.html", 'w') as f:
            f.write("""<html>
                <head>
                <style>body{font-size: 30px;}</style>
                </head>
                <body>%s</body>
                </html>\n""" % msg)
            f.flush()
        self.render("error.html")

  

 

posted @ 2019-10-21 22:48  东坡肉肉君  阅读(2233)  评论(0编辑  收藏  举报