21.easy_tornado
Tornado大致可以分为四个主要组成部分:
一个web框架(包括RequestHandler创建Web应用程序的子类,以及各种支持类)。
HTTPServerHTTP(和AsyncHTTPClient)的客户端和服务器端实现。
一个异步网络库,包括类IOLoop和IOStream,他们充当HTTP组件的构建块,也可用于实现其他协议。
一个协程库(tornado.gen),它允许以比链接回调更直接的方式编写异步代码,这类似于python3.5()中引入的原生协程功能,如果可用,建议使用本机携程代替模块,async deftornado.gen
Tornado Web框架和HTTP服务器一起提供了WSGI的全栈替代方案,WSGIContainer虽然可以将Tornado HTTP服务器用作其他WSGI框架的容器。
打开环境,看到三个文件
第一个文件说明flag文件在/fllllllllllllag里,要考虑怎么进入这个文件。
第二个render是指渲染。
render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。render和template的渲染是相似的,主要区别在于render是以脚本的方式进行渲染,template是以html方式进行渲染。这个重点在于是服务器模板,基本可以确定这是ssti(服务器模板注入),服务器模板注入和sql注入等有相同性,问题的关键在于传参。
另外,还查到了SSTI模板注入
SSTI就是服务器端模板注入(Server-Side Template Injection)
当前使用的一些框架,比如python的flask,php的tp,java的spring等一般都采用成熟的MVC模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。
漏洞成因就是服务端接收了用户的恶意输入后,未经任何处理就将其作为web应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell等问题。其影响范围主要取决于模板引擎的复杂性。
凡是使用模板的地方都可能会出现SSTI问题,SSTI不属于任何一种语言,沙盒绕过也不是,沙盒绕过只是由于模板引擎发现了很大的安全漏洞,然后模板引擎设计出来的一种防护机制,不允许使用没有定义或者声明的模块,这适用于所有的模块引擎。
第三个文件提示了哈希编码md5(cookie_secret+md5(filename))
注意看url信息,有两个参数,filename和filehash,filename是文件名的提示,filename=/fllllllllllllag,而filehash是第三个文件的提示,我们在hints.txt中随便改一下filehash的值
发现出错,我们在url中Error随便改一个值
发现msg是可控的,现在我们的主要问题是如何通过msg获得cookie_secret,查到百度的Tornado框架的附属文件handler.settings中存在cookie_secret
查到Tornado提供了一些对象别名来快速访问对象。Handler指向的处理当前这个页面的RequestHandler对象,handler是RequestHandler别名,而上面又提到RequestHandler.settings是self.application.settings的别名。所以handler.settings就等于RequestHandler.application.settings.
构造/error?msg={{handler.settings}},得到cookie_secret
打开md5编码器,按要求格式对其进行加密,
最后在url中构造playload /file?filename=/fllllllllllllag&filehash=61c77fba78f0e2ee2d83eb76d
得到flag