打开题目发现有提示,php和rce,初步推断是一道php代码审计的远程代码执行类型的题目,果然,进入靶场是一段php代码
前面部分是获取用户IP的,虽然我们可以操作X-Forwarded-For,但是并没有什么用。再往下,发现有个get传参,还有两个以前没有见过的函数,但初步推测应该是对字符串进行处理的,然后是新建了一个目录,并且将工作区转移到了新建目录下。最后关键部分,使用system执行了nmap的扫描命令,后面拼接上了我们传入的参数。这道题的重点就在我们能否将我们的输入当作代码的一部分执行。
再回过头来看这两个函数干了什么,再想怎么进行构造
escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数 escapeshellarg()
将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传
入 shell函数,并且还是确保安全的。对于用户输入的部分参数就应该使用这个函数。shell 函数包含
exec(), system() 执行运算符 。
按我的理解和测试,它是给一个字符串中的所有单引号都进行转义,并且用两个单引号当作连接字符再拼接回去。(后面有调试)
escapeshellcmd — shell 元字符转义
escapeshellcmd() 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。此函数保证用户输
入的数据在传送到 exec() 或 system() 函数,或者 执行操作符 之前进行转义。
反斜线(\)会在