SUCTF 2019-Pythonginx

发布于 2021-08-06  56 次阅读


image-20210518144246733

打开题目,给出一个输入框,和一部分python的源代码,没有其余可用信息,进行代码审计。

@app.route('/getUrl', methods=['GET', 'POST'])
def getUrl():
url = request.args.get("url")
host = parse.urlparse(url).hostname
if host == 'suctf.cc':
return "我扌 your problem? 111"


parts = list(urlsplit(url))
host = parts[1]
if host == 'suctf.cc':
return "我扌 your problem? 222 " + host


newhost = []
for h in host.split('.'):
newhost.append(h.encode('idna').decode('utf-8'))
parts[1] = '.'.join(newhost) #去掉 url 中的空格
finalUrl = urlunsplit(parts).split(' ')[0]
host = parse.urlparse(finalUrl).hostname
if host == 'suctf.cc':
return urllib.request.urlopen(finalUrl).read()

else:
return "我扌 your problem? 333"

题目给了三个if 给出的判断条件 都是 一样的,但是三个if获取的host值的方法不同,而且前两个if没有什么用处,第三个if处存在读取函数。

综合上述,我们可以得出:

 1. 我们要绕过前两个`if`进入第三个`if`
 2. 通过第三个`if`使用伪协议,对`flag`进行读取

通过观察源码,我们可以发现,前面两个if都是使用urlparse或者urlsplit直接获取host,而这里偏偏使用一种特殊编码加密在解密的方式。这就是明显多此一举的行为,怀疑问题就是出现在这里。

直接复制这个加解密字符串百度,我们能发现:

image-20210518204838250

使用idna编码之后,在使用utf-8解码,我们就能获得c/u这个字符串,也就是说当我们传入

suctf.c℆经过编码在解码之后我们能得到suctf.cc/u,这样的话我们就能成功绕过前面两个if进入第三个里面

尝试读取/etc/passwd验证思路正确性

file://suctf.c℆/../../../../etc/passwd
image-20210518205858579

这里的题目名也是一个坑pythonginx应该是python 和 nginx

这样的话我们直接读取nginx的关键文件即可。

配置文件存放目录:/etc/nginx
主配置文件:/etc/nginx/conf/nginx.conf
管理脚本:/usr/lib64/systemd/system/nginx.service
模块:/usr/lisb64/nginx/modules
应用程序:/usr/sbin/nginx
程序默认存放位置:/usr/share/nginx/html
日志默认存放位置:/var/log/nginx
image-20210518210930045

读取这个文件即可

image-20210518211014931