一、附件代码

# pylint: disable=missing-module-docstring,missing-function-docstring import os from flask import Flask, render_template app = Flask(__name__, template_folder="templates") @app.route("/") def index(): return render_template("index.html") @app.route("/secret") def secret(): return os.getenv("FLAG", "NSSCTF{default}") if __name__ == "__main__": app.run("0.0.0.0", 8080, debug=False)

这是一个简单的 Flask 应用，定义了两个路由：

● 根路径/：返回首页

● /secret路径：返回环境变量中的 flag 值，这显然是我们需要获取的目标

应用运行在本地 8080 端口，而 Nginx 作为反向代理监听 80 端口，将请求转发给这个 Flask 应用。

Nginx 配置：

server { listen 80; server_name localhost; location ~* ^/secret/?$ { deny all; return 403; } location ~* ^/secret/ { deny all; return 403; } location / { proxy_pass http://127.0.0.1:8080; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } }

● 第一个 location 块：~* ^/secret/?$ 匹配/secret或/secret/路径，使用deny all禁止访问

● 第二个 location 块：~* ^/secret/ 匹配以/secret/开头的路径，同样禁止访问

● 其他所有请求都通过proxy_pass转发到本地 8080 端口的 Flask 应用

二、漏洞分析

这个 Nginx 配置存在路径解析绕过漏洞，主要原因在于 Nginx 的正则匹配规则与后端flask实际路径处理逻辑之间存在不一致性。

1. 正则匹配的局限性：配置中使用的正则表达式^/secret/?$和^/secret/看似能覆盖所有与/secret相关的路径，但没有考虑到特殊 Unicode 字符的情况。

2. Nginx 的 Unicode 字符处理机制：Nginx 在处理 URL 中的某些 Unicode 字符时，会将其规范化或忽略，而正则匹配则是基于原始字符进行的。这种差异导致攻击者可以构造特殊 URL，既能够绕过 Nginx 的正则匹配，又能被正确解析为/secret路径。

3. 关键漏洞点：当请求中包含某些特殊 Unicode 字符时，例如 U+2026（水平省略号…）、U+0085（下一行字符）等，Nginx 的正则匹配会认为这不是/secret路径而允许访问，但其内部路径解析机制会忽略这些特殊字符，最终仍然将请求转发到/secret路径。

也就是说，Nginx 使用正则表达式匹配 URL。如果我们在 /secret 后面加上特定的 Unicode 字符（如 \x85），Nginx 会认为 /secret\x85 不匹配 ^/secret/?$（因为多了一个字符），也不匹配 ^/secret/（因为 \x85 不是 /），从而放行请求。当请求转发到后端的 Python Flask应用时，Python 的 WSGI 层或 Flask 框架在处理 URL 时，会将 \x85 (Next Line) 或 \xa0 (Non-breaking space) 等字符视为空白符或无效字符进行“标准化”处理，最终将其解析为 /secret，从而成功执行代码并返回 Flag。

三、漏洞利用

带上路径/secret访问，bp抓包拦截。改成a0也行

四、总结

考点：Nginx 路径解析差异绕过 / Unicode 标准化漏洞。
• 核心机制：
• Nginx 是基于正则 (Regex) 匹配字符串的，对特殊字符非常敏感。
• Python (Flask/Werkzeug) 是基于语义解析 URL 的，会在路由匹配前进行解码和清理。
• 利用 \x85 (Next Line) 或 \xa0 (NBSP) 等高位 Unicode 字符，可以骗过 Nginx 的正则拦截，同时让后端应用将 \x85 (Next Line) 或 \xa0 (Non-breaking space) 等字符视为空白符或无效字符进行“标准化”处理，“视而不见”地解析出正确路径。

不同版本的Nginx搭配后端做反代时的deny绕过参考：

http://missmoon.cn/archives/nnginx-deny

https://xz.aliyun.com/news/14403