Inyección de plantilla de renderizado Python SSTI tornado

Principio
Tornado render es una función de renderizado en Python, que es una especie de plantilla. Se generan diferentes páginas web llamando a diferentes parámetros. Si el usuario puede controlar el contenido del renderizado, no solo se puede inyectar código XSS, sino también a través de { {}} Proceda a pasar variables y ejecutar expresiones simples.
Un ejemplo sencillo de comprensión es el siguiente:

import tornado.ioloop
import tornado.web
 
class MainHandler(tornado.web.RequestHandler):
    def get(self):
        self.render('index.html')       
class LoginHandler(BaseHandler):
    def get(self):
        '''
        当用户访登录的时候我们就得给他写cookie了,但是这里没有写在哪里写了呢?
        在哪里呢?之前写的Handler都是继承的RequestHandler,这次继承的是BaseHandler是自己写的Handler
        继承自己的类,在类了加扩展initialize! 在这里我们可以在这里做获取用户cookie或者写cookie都可以在这里做
        '''
        '''
        我们知道LoginHandler对象就是self,我们可不可以self.set_cookie()可不可以self.get_cookie()
        '''
        # self.set_cookie()
        # self.get_cookie()
        self.render('login.html', **{
    
    'status': ''})
def login(request):
    #获取用户输入
    login_form = AccountForm.LoginForm(request.POST)
    if request.method == 'POST':
        #判断用户输入是否合法
        if login_form.is_valid():#如果用户输入是合法的
            username = request.POST.get('username')
            password = request.POST.get('password')
            if models.UserInfo.objects.get(username=username) and models.UserInfo.objects.get(username=username).password == password:
                    request.session['auth_user'] = username
                    return redirect('/index/')
            else:
                return render(request,'account/login.html',{
    
    'model': login_form,'backend_autherror':'用户名或密码错误'})
        else:
            error_msg = login_form.errors.as_data()
            return render(request,'account/login.html',{
    
    'model': login_form,'errors':error_msg})
    # 如果登录成功，写入session，跳转index
    return render(request, 'account/login.html', {
    
    'model': login_form}

Se puede ver en lo anterior que renderizar es una cosa similar a una plantilla, que puede usar diferentes parámetros para acceder a las páginas web.
En la plantilla de tornado, hay algunos objetos rápidos a los que se puede acceder, como
{ {escape (handler.settings ["Galleta"]) }}

Estos dos { {}} y este objeto de diccionario pueden ser vistos por todos, sí, este
controlador de objetos handler.settings apunta a RequestHandler

Y RequestHandler.settings apunta a self.application.settings

¡Todos los ajustes de handler apuntan a RequestHandler.application.settings!

Es decir, aquí está nuestra variable de entorno, obtenemos el cookie_secret de aquí

Aquí, construya la declaración
md5 (cookie_secret + md5 (nombre de archivo))

from hashlib import md5


def encrypt_md5(s):
    # 创建md5对象
    new_md5 = md5()
    # 这里必须用encode()函数对字符串进行编码，不然会报 TypeError: Unicode-objects must be encoded before hashing
    new_md5.update(s.encode(encoding='utf-8'))
    # 加密
    return new_md5.hexdigest()

def flag():
    cookie_secret = 'filehash'
    filename = '/fllllllllllllag'
    md51 = encrypt_md5(cookie_secret+encrypt_md5(filename))
    print(md51)

# 调用
if __name__ == '__main__':
    flag()