SSTI注入、render()
这里给出了三个页面
提示信息如下:
flag在 /fllllllllllllag 中,同时我们观察到无论访问哪个文件,url总是为file?filename=/xxx&filehash=xxx
再通过hints.txt的提示,不难得出 filehash=md5(cookie_secret+md5(filename))
现在filename已经有了 /fllllllllllllag 还需要cookie_secret
然后我用bp分别抓取这三个页面,我以为cookie_secret就是cookie值,结果bp里面根本没有cookie这个参数。又把三个filehash拿到md5去解密,解不出来。
扩展:SSTI注入
SSTI就是服务器端模板注入(Server-Side Template Injection),也给出了一个注入的概念。
服务端模板:相当于很多公式,根据变量输出结果。这里的模板就是模板引擎根据数据自动生成前端页面。常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞。SSTI也是获取了一个输入,然后在后端的渲染处理上进行了语句的拼接,然后执行。错误的执行了用户输入。类比于 sql注入。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对python、php、java的一些网站处理框架,比如Python的jinja2mako tornado django,php的smarty twig,java的jadevelocity。当这些框架对运用>渲染函数生成html的时候会出现SSTI的问题。
因为render()是tornado里的函数,可以生成html模板。是一个渲染函数 ,就是一个公式,能输出前端页面的公式。tornado是用Python编写的Web服务器兼Web应用框架,简单来说就是用来生成模板的东西。和Python相关,和模板相关,就可以推测这可能是个ssti注入题了。
/file?filename=/fllllllllllllag&filehash={{1}} //下面给出了为啥使用双花括号的原因
Tornado templates support control statements and expressions.
Controlstatements are surrounded by {% %}, e.g. {% if len(items) > 2 %}.
Expressions are surrounded by {{ }}, e.g. {{ items[0] }}.
模板注入必须通过传输型如{{xxx}}的执行命令。探测方式很简单,给一个参数赋值{{22*22}}返回484则必然存在模板注入。
我们的目的是通过这个msg拿到cookie_secret的值
Tornado框架的附属文件handler.settings中存在cookie_secret
Handler指向的处理当前这个页面的RequestHandler对象
RequestHandler中并没有settings这个属性,与RequestHandler关联的Application(Requestion.application)才有setting这个属性。handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了!
http://0eb11860-625c-477a-8c56-5ae8eab609e9.node4.buuoj.cn:81/error?msg={{handler.settings}}这这时就拿到了cookie_secret
‘cookie_secret’: ‘d36ae46d-0ef7-4d58-aa3c-7c27d031ba02’
去用下面这个式子得到 /fllllllllllllag 的filehash
filehash=md5(cookie_secret+md5(filename))
filehash = cc1979d330f4353c3774e486a2677bce
再带入这个式子里面拿到flag
file?filename=/xxx&filehash=xxx
file?filename=/fllllllllllllag&filehash=cc1979d330f4353c3774e486a2677bce