tornado模版注入 [护网杯 2018]easy_tornado 1

本文介绍: 模版注入就是存在于web 应用中的注入漏洞，例如：如果使用此模板显示用户的输入，那么它是完全安全的，因为我们所做的只是从数据库中获取当前用户的信息，然后将其返回给用户，但下面这个例子就不太一样了：如果用户的输入的成为模板的一部分，就构成了sst i 漏洞，因为模板有能力执行任意代码，所以用户可以在服务器上获得一个 shell。攻击者可以在其中注入恶意模板代码来获得shell，但需要注意的一点是，该漏洞不仅限于服务器，只要模板可用，漏洞就可以存在于任何地方。

打开题目

打开 flag.txt

告诉我们 f lag在 /fl ll ll lllllllag下

打开 welcome.txt

我们看到了render 渲染函数，联想到sst i

打开 hints.txt

然后我们留意到每个打开 url上面都有file hash

告诉我们如果想要访问/fllllllllllllag下的f lag 文件，是需要 file hash 这个GET参数需要被m ad5加密的filename（也就是/flllllllllllla g）与cookie _s ec re t的md5加密才能访问最终的fl ag值
我们要想办法获取 cookie _s ec r e t的值

我们将URL上的文件名修改替换为/fllllllllllllag试试

得到如下界面

提示?msg=Er ro r

把url上的修改为?msg=/fllllllllllllag

但是我们随便写内容都能在页面上回显

包括我们加上{{}}，模板注入必须通过传输型如{{xxx}}的执行命令

我们知道 handler.settings是内置的环境配置信息名称

所以访问一下得到cookie _s ec r e t

cookie _s e c r e t: 1b e aa4a8-aee4-4b8f-8b56-63b60cf13c24

这里需要注意的是三个url上的file ha sh都是小写字母

接下来我们构造 pay load就行

注意选择是32位小写

先是md5(filename)

接下来md5(cookie _s e cre t+md5(filename))

1beaa4a8-aee4-4b8f-8b56-63b60cf13c24+3bf9f6cf685a6dd8def ad abfb41a03a1

去掉加号加密得到78503f8a3e173f0546c4d6f35a52b713

组合一下得到pay load

file?filename=/fllllllllllllag&fileha sh=78503f8a3e173f0546c4d6f35a52b713

得到flag

这里看到有别的师傅w p上用python 脚本加密

这里借用一下师傅的

import hashlib  #选用哈希模块
filename = '/fllllllllllllag'  #文件名
cookie_secret = '76fc62a3-fea5-46ab-8f95-4b7262246f8c'#cookie_secret值
filename = hashlib.md5(filename.encode()).hexdigest()#/fllllllllllllag进行32位小写哈希md5加密
a = cookie_secret + filename#md5值进行拼接
filehash = hashlib.md5(a.encode()).hexdigest()#计算拼接后的md5值的md532小写的值
print(filehash)#输出加密后的md532位小写的值

知识点：

render 函数和template 函数

render 函数跟模板（template）都是用来创建 html 模板的，Vue 推荐在绝大多数情况下使用模板（template）来创建你的 HTML

template是一种类HTML的语法，它定义了组件的结构和展示，包括HTML标签、属性、事件和插值等。Vue将template 编译成rend er 函数，最终将rend er 函数渲染成虚拟DOM，并将其渲染到页面上。

rend er 函数则是一个函数式组件，它的参数是一个createElement函数和上下文对象。rend er函数用代码方式描述组件的结构和展示，并返回一个虚拟DOM节点，最终也会被渲染到页面上。

相对于template，rend er函数更加灵活和强大，可以更精细地控制组件的展示。同时，由于rend er函数是JavaScript代码，因此它可以被更好地集成到其他代码中。template则更加容易编写和理解，但可能会受到HTML标签和属性的限制。

在实际开发中，我们可以选择使用 template或rend er函数来定义组件，具体取决于组件的需求和开发者的习惯。如果组件需要较为复杂的展示逻辑和动态交互，可以使用rend er函数来实现。如果组件比较简单，可以使用template来编写。

什么是模版注入？

模版注入就是存在于web 应用中的注入漏洞，例如：

template = “Bio: {{ user.bio }}”
rend er(template)

如果使用此模板显示用户的输入，那么它是完全安全的，因为我们所做的只是从数据库中获取当前用户的信息，然后将其返回给用户，但下面这个例子就不太一样了：

template = “Bio: ” + USER_INPUT
rend er(template)

如果用户的输入的成为模板的一部分，就构成了ssti漏洞，因为模板有能力执行任意代码，所以用户可以在服务器上获得一个shell。攻击者可以在其中注入恶意模板代码来获得shell，但需要注意的一点是，该漏洞不仅限于服务器，只要模板可用，漏洞就可以存在于任何地方

常见的模版

C#（Str ingTemplate，Sh arepoint上动态使用的ASPX）。

Java(Velo city、Free marker、Pebble、Thymeleaf和Jin java)

PHP（Twig、Smarty、Dw o o、Volt、Blade、Plates、Mu stache、Py th on、Jin ja2、To rn ado、must ac he和Str ing Tem plate）。

Go (text/template)

tornado 框架特点

cookie _secret在Ap pli cat ion对象settings的属性中，访问它的话就需要知道它的属性名字

self.application.settings有一个别名是Reque stHandler.settin gs

其中handler又是指向处理当前这个页面的Reque stHandler对象

Reque stHandler.settin gs指向self.application.settin gs

因此handler.settin gs指向Reque stHandler.application.settin gs

在to rn ado模板中，存在一些可以访问的快速对象,这里用到的是handler.settin gs，handler 指向RequestHandler，而RequestHandler.setti n gs又指向self.application.setti n gs，所以handler.setti ngs就指向RequestHandler.application.settings了，这里面就是我们的一些环境变量。

简单理解handler.settings即可，可以把它理解为to rn ado模板中内置的环境配置信息名称，通过 handler.settings可以访问到环境配置的一些信息，看到to rn ado模板基本上可以通过handler.settings一把梭