• python SSTI tornado render模板注入


    原理
    tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。
    简单的理解例子如下:
    ------------------------------------------------------------------------------------
    import tornado.ioloop
    import tornado.web
     
    class MainHandler(tornado.web.RequestHandler):
        def get(self):
            self.render('index.html')       
    class LoginHandler(BaseHandler):
        def get(self):
            '''
            当用户访登录的时候我们就得给他写cookie了,但是这里没有写在哪里写了呢?
            在哪里呢?之前写的Handler都是继承的RequestHandler,这次继承的是BaseHandler是自己写的Handler
            继承自己的类,在类了加扩展initialize! 在这里我们可以在这里做获取用户cookie或者写cookie都可以在这里做
            '''
            '''
            我们知道LoginHandler对象就是self,我们可不可以self.set_cookie()可不可以self.get_cookie()
            '''
            # self.set_cookie()
            # self.get_cookie()
            self.render('login.html', **{'status': ''})
    def login(request):
        #获取用户输入
        login_form = AccountForm.LoginForm(request.POST)
        if request.method == 'POST':
            #判断用户输入是否合法
            if login_form.is_valid():#如果用户输入是合法的
                username = request.POST.get('username')
                password = request.POST.get('password')
                if models.UserInfo.objects.get(username=username) and models.UserInfo.objects.get(username=username).password == password:
                        request.session['auth_user'] = username
                        return redirect('/index/')
                else:
                    return render(request,'account/login.html',{'model': login_form,'backend_autherror':'用户名或密码错误'})
            else:
                error_msg = login_form.errors.as_data()
                return render(request,'account/login.html',{'model': login_form,'errors':error_msg})
        # 如果登录成功,写入session,跳转index
        return render(request, 'account/login.html', {'model': login_form}
    -------------------------------------------------------------------------------------

    由上面可知:render是一个类似模板的东西,可以使用不同的参数来访问网页
    在tornado模板中,存在一些可以访问的快速对象,例如
             {{ escape(handler.settings["cookie"]) }}

    这两个{{}}和这个字典对象也许大家就看出来了,没错就是这个handler.settings对象
    handler 指向RequestHandler

    而RequestHandler.settings又指向self.application.settings

    所有handler.settings就指向RequestHandler.application.settings了!

    大概就是说,这里面就是我们一下环境变量,我们正是从这里获取的cookie_secret

    看题目的错误页面


    可见页面返回的由msg的值决定,修改msg的值形成注入,获得环境变量
    ?msg={{handler.settings}}  (见上面灰色高显部分)
    页面回显环境变量
    {'autoreload': True, 'compiled_template_cache': False, 'cookie_secret': 'M)Z.>}{O]lYIp(oW7$dc132uDaK<C%wqj@PA![VtR#geh9UHsbnL_+mT5N~J84*r'}
    得到cookie_secret

  • 相关阅读:
    Oracle 内存参数调优设置
    查询Oracle正在执行的sql语句及执行该语句的用户
    oracle审计详解
    Oracle数据库的性能调整
    性能监控工具的配置及使用
    windows端5款mysql客户端工具
    Oracle 11g密码过期问题及解决方案
    PLSQL安装、PLSQL汉化、激活
    Mercurial 安装及使用
    Servlet基础(二) Servlet的生命周期
  • 原文地址:https://www.cnblogs.com/cimuhuashuimu/p/11544455.html
Copyright © 2020-2023  润新知