BUUCTF-web刷题篇(12)

21.easy_tornado

Tornado大致可以分为四个主要组成部分：

一个web框架（包括RequestHandler创建Web应用程序的子类，以及各种支持类）。

HTTPServerHTTP（和AsyncHTTPClient）的客户端和服务器端实现。

一个异步网络库，包括类IOLoop和IOStream，他们充当HTTP组件的构建块，也可用于实现其他协议。

一个协程库（tornado.gen），它允许以比链接回调更直接的方式编写异步代码，这类似于python3.5()中引入的原生协程功能，如果可用，建议使用本机携程代替模块，async deftornado.gen

Tornado Web框架和HTTP服务器一起提供了WSGI的全栈替代方案，WSGIContainer虽然可以将Tornado HTTP服务器用作其他WSGI框架的容器。

打开环境，看到三个文件

第一个文件说明flag文件在/fllllllllllllag里，要考虑怎么进入这个文件。

第二个render是指渲染。

render是python中的一个渲染函数，也就是一种模板，通过调用的参数不同，生成不同的网页，如果用户对render内容可控，不仅可以注入XSS代码，而且还可以通过{{}}进行传递变量和执行简单的表达式。render和template的渲染是相似的，主要区别在于render是以脚本的方式进行渲染，template是以html方式进行渲染。这个重点在于是服务器模板，基本可以确定这是ssti（服务器模板注入），服务器模板注入和sql注入等有相同性，问题的关键在于传参。

另外，还查到了SSTI模板注入

SSTI就是服务器端模板注入（Server-Side Template Injection）

当前使用的一些框架，比如python的flask，php的tp,java的spring等一般都采用成熟的MVC模式，用户的输入先进入Controller控制器，然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断，数据库存取，最后把结果返回给View视图层，经过模板渲染展示给用户。

漏洞成因就是服务端接收了用户的恶意输入后，未经任何处理就将其作为web应用模板内容的一部分，模板引擎在进行目标编译渲染的过程中，执行了用户插入的可以破坏模板的语句，因而可能导致了敏感信息泄露、代码执行、GetShell等问题。其影响范围主要取决于模板引擎的复杂性。

凡是使用模板的地方都可能会出现SSTI问题，SSTI不属于任何一种语言，沙盒绕过也不是，沙盒绕过只是由于模板引擎发现了很大的安全漏洞，然后模板引擎设计出来的一种防护机制，不允许使用没有定义或者声明的模块，这适用于所有的模块引擎。

第三个文件提示了哈希编码md5(cookie_secret+md5(filename))

注意看url信息，有两个参数，filename和filehash，filename是文件名的提示，filename=/fllllllllllllag，而filehash是第三个文件的提示，我们在hints.txt中随便改一下filehash的值

发现出错，我们在url中Error随便改一个值

发现msg是可控的，现在我们的主要问题是如何通过msg获得cookie_secret，查到百度的Tornado框架的附属文件handler.settings中存在cookie_secret

查到Tornado提供了一些对象别名来快速访问对象。Handler指向的处理当前这个页面的RequestHandler对象，handler是RequestHandler别名，而上面又提到RequestHandler.settings是self.application.settings的别名。所以handler.settings就等于RequestHandler.application.settings.

构造/error?msg={{handler.settings}}，得到cookie_secret

打开md5编码器，按要求格式对其进行加密，

最后在url中构造playload /file？filename=/fllllllllllllag&filehash=61c77fba78f0e2ee2d83eb76d

得到flag