PHP escapeshellarg()+escapeshellcmd() 导致的漏洞

最新推荐文章于 2024-05-16 12:30:56 发布
最新推荐文章于 2024-05-16 12:30:56 发布
阅读量738 收藏 3
点赞数 3
分类专栏: 笔记 文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61778128/article/details/126814321
版权

参考题目:[BUUCTF 2018]Online Tool

文章:https://paper.seebug.org/164/

 

 

这两个函数都是用来转义用的,前者转义参数,后者转义命令,但是他们在配合的时候,可能导致单引号配对错误,可以用来恶意构造payload进行命令注入

  1. 传入的参数是:172.17.0.2' -v -d a=1
  2. 经过escapeshellarg处理后变成了'172.17.0.2'\'' -v -d a=1',即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。
  3. 经过escapeshellcmd处理后变成'172.17.0.2'\\'' -v -d a=1\',这是因为escapeshellcmd\以及最后那个不配对儿的引号进行了转义:http://php.net/manual/zh/function.escapeshellcmd.php
  4. 最后执行的命令是curl '172.17.0.2'\\'' -v -d a=1\',由于中间的\\被解释为\而不再是转义字符,所以后面的'没有被转义,与再后面的'配对儿成了一个空白连接符。所以可以简化为curl 172.17.0.2\ -v -d a=1',即向172.17.0.2\发起请求,POST 数据为a=1'

回到mail中,我们的 payload 最终在执行时变成了'-fa'\\''\( -OQueueDirectory=/tmp -X/var/www/html/test.php \)@a.com\',分割后就是-fa\(-OQueueDirectory=/tmp-X/var/www/html/test.php)@a.com',最终的参数就是这样被注入的。

MUNG东隅
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
php使用escapeshellarg时中文被过滤的解决方法
10-21
主要介绍了php使用escapeshellarg时中文被过滤的解决方法,测试后发现问题的原因是shell和apache php-cgi的运行环境不同引起的,需要的朋友可以参考下
php代码审计之命令注入(3)
01-09
:反引号:shell_exec:popen:proc_open:pcntl_exec:escapeshellarg():escapeshellcmd(): system()命令: string system ( string $command [, int &$return_var ] ) system执行外部...
2021-08-14BUUCTF 2018]Online Tool(escapeshellarg+escapeshellcmd函数连用导致rce、nmap -oG写shell转)
qq_45290991的博客
08-14 358
本文转自大佬K0f1i先吐槽一下,搜到了漏洞也不会利用,会利用了看到这题也不知道getflag,????,砸挖鲁多,食我压路机啊!! 题目给了源码 <?php if (isset(KaTeX parse error: Double subscript at position 110: …string">'HTTP_X_̲FOR...
2020/7/08 - [BUUCTF 2018]Online Tool - nmap\escapeshellargescapeshellcmd连用
抒情诗
07-09 442
文章目录1.首先看下给的源码2.利用nmap的-oG选项写webshell 这里涉及到了nmap的知识,我还没怎么用过nmap这个工具,都说这是个大神器,确实各种option看得我眼花缭乱趁暑假多学一点吧 1.首先看下给的源码 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['h
[BUUCTF 2018]Online Tool
borrrrring的博客
07-23 136
[BUUCTF 2018]Online Tool 考察内容: 1.escapeshellarg()+escapeshellcmd(); 2.nmap文件写入 3.命令行注入 大概浏览了一下,这道题应该是get传参然后命令行注入,然后剩下的函数都看不懂了。。。这就是做题做的太少了的后果吗。。。 remote_addr 表示发出请求的远程主机的 IP 地址,remote_addr代表客户端的IP,它的值是服务端根据客户端的ip指定的。如果你是直接访问的那么显示的就是你真实的ip,如果你开了代理,那么显示的就是
PHP escapeshellarg()+escapeshellcmd()绕过
rev1ve的博客
12-08 2115
这样的流程来处理输入是存在隐患的,mail就是个很好的例子,因为它函数内部使用了escapeshellcmd,如果开发人员仅用escapeshellarg来处理输入再传给mail那这层防御几乎是可以忽略的。如果可以注入参数,那利用就是各种各样的了,例如 PHPMailer 和 RoundCube 中的mail和 Naigos Core 中的 curl都是很好的参数注入的例子。当进行escapeshellarg()函数处理后,会先进行字符转义,变成如下。那么我们在传入参数的前面添加单引号,后面空格加单引号。
浅谈CTF中escapeshellarg的利用
读万卷书,行万里路。
08-09 4418
浅谈 escapeshellarg 的利用 文章目录浅谈 escapeshellarg 的利用0 前言1 参数注入2 逃逸字符2.1 cat flag2.2 freepoint3 总结 0 前言 escapeshellarg 的作用是把字符串转码为可以在 shell 命令里使用的参数。(escapeshellargescapeshellcmd 相似,主要看是否有引号) 在 CTF 可能被用于: 参数注入(开发人员错误的使用 escapeshellarg 函数) 逃逸字符(该函数非二进制安全) 1
php escapeshellcmd多字节编码漏洞解析及延伸
广外女生官方BLOG
09-11 675
 /* {{{ php_escape_shell_cmd    Escape all chars that could possibly be used to    break out of a shell command    This function emalloc’s a string and returns the pointer.    Remember to efree it whe
escapeshellarg参数绕过和注入的问题
m0_75178803的博客
12-14 1179
将给字符串增加一个单引号并且能引用或者转义任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,并且还是确保安全的。PHP 将尝试将反引号中的内容作为 shell 命令来执行,并将其输出信息返回。用空格替换了百分号、感叹号(延迟变量替换)和双引号,并在字符串两边加上双引号。在windows系统中,system函数直接在控制台调用一个command命令。参数,命令执行后的返回状态会被写入到此变量。参数, 那么会用命令执行的输出填充此数组。)都会被一个额外的反斜线所转义。
escapeshellarg绕过与参数注入漏洞
Galaxy_0的博客
02-21 313
escapeshellarg绕过与参数注入漏洞
php参数过滤、数据过滤类
05-01
3)在使用系统函数时,必须使用escapeshellarg(),escapeshellcmd()参数去过滤,这样你也就可以放心的使用系统函数。 4)对于跨站,strip_tags(),htmlspecialchars()两个参数都不错,对于用户提交的的带有html和php的...
Securing PHP Web Applications.pdf
08-18
escapeshellcmd() 30 escapeshellarg() 30 Create an API to Handle All System Calls 31 Why Not Just Escape the Arguments and Be Done? 31 Validate User Input 32 Patch the Guestbook Application 32 ...
[BUUCTF 2018]Online Tool(escapeshellarg+escapeshellcmd使用不当导致rce)
qq_44657899的博客
08-13 378
参考谈escapeshellarg绕过与参数注入漏洞 函数作用 escapeshellarg() 给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号 escapeshellcmd() 反斜线(\)会在以下字符之前插入: &#;`|*?~<>^()[]{}$\, \x0A 和 \xFF。 ' 和 " 仅在不配对儿的时候被转义。 1、首先给用户输入的字符加单引号不一定能防止命令执行,可以看到我们-c 2被加上单引号后依旧被执行了 ping '-c 2' 127.0
PHP代码审计 ------ 命令执行漏洞
qq_62344745的博客
04-16 167
要分清命令执行,和 代码执行的区别什么是命令执行?我们可以去执行 cmd ,bash 命令,基于一些函数参数的漏洞
学习笔记-php代理审计_可能被利用的函数
人饭子的博客
11-08 391
in_array() 功能: 检查数组中是否存在某个值。 定义: in_array ( mixed $needle , array $haystack , bool $strict = false ) : bool 解释:大海捞针,在大海(haystack)中搜索针( needle),如果没有设置 strict 则使用宽松的比较。 当in_array()函数的第...
PHP内核』PHP 7 escapeshellcmd底层探究
Ho1aAs‘s Blog
10-19 959
文章目录escapeshellcmd描述勘误静态调试PHP_FUNCTION(escapeshellcmd)PHPAPI zend_string *php_escape_shell_cmd(char *str)跳过多字节字符对有效字符转义检查结果有效性并返回动态调试常规输入输入多字节字符完 escapeshellcmd描述 escapeshellcmd归于程序执行类函数,对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 escapeshellcmd(string $command): st
关于 struct sockaddr_in
最新发布
weixin_73964834的博客
05-16 662
这个struct sockaddr_in 前三行有三个变量。
escapeshellarg
03-16
escapeshellarg是一个PHP函数,用于将字符串转义为安全的shell参数。它可以确保字符串中的特殊字符不会被shell解释为命令或选项。这个函数通常用于构建shell命令行参数,以避免命令注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MUNG东隅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值