@@app.route('/getUrl', methods=['GET', 'POST'])
def getUrl():
url = request.args.get("url")
host = parse.urlparse(url).hostname
if host == 'suctf.cc':
return "我扌 your problem? 111"
parts = list(urlsplit(url))
host = parts[1]
if host == 'suctf.cc':
return "我扌 your problem? 222 " + host
newhost = []
for h in host.split('.'):
newhost.append(h.encode('idna').decode('utf-8'))
parts[1] = '.'.join(newhost)
#去掉 url 中的空格
finalUrl = urlunsplit(parts).split(' ')[0]
host = parse.urlparse(finalUrl).hostname
if host == 'suctf.cc':
return urllib.request.urlopen(finalUrl).read()
else:
return "我扌 your problem? 333"
进去直接给出了python的源代码
urlparse模块讲解
细看完上面这篇文章后
这段是获取域名
最后的域名被idna编码和utf-8解码了
上面这段看到有个read()基本上可以断定是任意文件读取了
解题思路如下
由于两个if等于suctf.cc的话会返回没用的内容,
而第三个if却又要让我们等于suctf.cc才可以进行文件读取
百度搜了搜原来是idna编码和utf-8会有一个漏洞
idna和utf-8编码漏洞
在经过第三个if之前,
会经过这么一段代码,
举个例子就是将域名suctf.cc 分成 suctf和cc组成的列表,再进行idna和urt-8编码解码,最后将这两个东西用.
拼接
补充一下ngnix的信息
ngnix服务器配置目录
配置文件存放目录:/etc/nginx
主配置文件:/etc/nginx/conf/nginx.conf
管理脚本:/usr/lib64/systemd/system/nginx.service
模块:/usr/lisb64/nginx/modules
应用程序:/usr/sbin/nginx
程序默认存放位置:/usr/share/nginx/html
日志默认存放位置:/var/log/nginx
配置文件目录为:/usr/local/nginx/conf/nginx.conf
可以去读下配置文件
刚好可以用文章里的例子绕过
payload
file://suctf.c℆sr/local/nginx/conf/nginx.conf
发现flag的文件位置
读取flag
paylaod
file://suctf.c℆sr/fffffflag