Buu刷题 |
您所在的位置:网站首页 › 诡秘之主版权费 › Buu刷题 |
前言
希望自己能够更加的努力,希望通过多刷大赛题来提高自己的知识面。(ง •_•)ง easy_tornado进入题目
看到render就感觉可能是模板注入的东西 hints.txt给出提示,可以看到url中的filehash
呢么意思就是如果知道cookie_secret的话,再结合md5的filename就可以读到/flllllag了把 其实到这里我就没什么思路了,对于render肯定存在模板的问题,百度了一下标题tornado Tornado是一种 Web 服务器软件的开源版本。Tornado 和现在的主流 Web 服务器框架(包括大多数 Python 的框架)有着明显的区别:它是非阻塞式服务器,而且速度相当快。 一搜,render组合tornado,全是这道题的题解,我惊了。。那就看着WP来复现把,而不是自己做出来。。。 随便删除了filehash后,跳到了这个页面。
可以看到msg参数,传入了Error,页面就显示Error,通过一般常用的{{}}来测试 通过查阅Tornado官方文档可以发现cookie_secret存在于RequestHandler中 我们查阅资料发现 cookie_secret在RequestHandler.settings中
在官方文档中可以看到,在Tornado的前端页面模板中,Tornado提供了一些对象别名来快速访问对象。 结合百度到的一篇WP tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。简单的理解例子如下:------------------------------------------------------------------------------------import tornado.ioloopimport tornado.web class MainHandler(tornado.web.RequestHandler): def get(self): self.render('index.html') class LoginHandler(BaseHandler): def get(self): ''' 当用户访登录的时候我们就得给他写cookie了,但是这里没有写在哪里写了呢? 在哪里呢?之前写的Handler都是继承的RequestHandler,这次继承的是BaseHandler是自己写的Handler 继承自己的类,在类了加扩展initialize! 在这里我们可以在这里做获取用户cookie或者写cookie都可以在这里做 ''' ''' 我们知道LoginHandler对象就是self,我们可不可以self.set_cookie()可不可以self.get_cookie() ''' # self.set_cookie() # self.get_cookie() self.render('login.html', **{'status': ''})def login(request): #获取用户输入 login_form = AccountForm.LoginForm(request.POST) if requesthod == 'POST': #判断用户输入是否合法 if login_form.is_valid():#如果用户输入是合法的 username = request.POST.get('username') password = request.POST.get('password') if models.UserInfo.objects.get(username=username) and models.UserInfo.objects.get(username=username).password == password: request.session['auth_user'] = username return redirect('/index/') else: return render(request,'account/login.html',{'model': login_form,'backend_autherror':'用户名或密码错误'}) else: error_msg = login_form.errors.as_data() return render(request,'account/login.html',{'model': login_form,'errors':error_msg}) # 如果登录成功,写入session,跳转index return render(request, 'account/login.html', {'model': login_form}------------------------------------------------------------------------------------- 由上面可知:render是一个类似模板的东西,可以使用不同的参数来访问网页在tornado模板中,存在一些可以访问的快速对象,例如 {{ escape(handler.settings["cookie"]) }} 这两个{{}}和这个字典对象也许大家就看出来了,没错就是这个handler.settings对象handler 指向RequestHandler 而RequestHandler.settings又指向self.application.settings 所有handler.settings就指向RequestHandler.application.settings了! 大概就是说,这里面就是我们一下环境变量,我们正是从这里获取的cookie_secret 看题目的错误页面
可见页面返回的由msg的值决定,修改msg的值形成注入,获得环境变量?msg={{handler.settings}} (见上面灰色高显部分)页面回显环境变量{'autoreload': True, 'compiled_template_cache': False, 'cookie_secret': 'M)Z.>}{O]lYIp(oW7$dc132uDaK |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |