[BUUCTF 2018]Online Tool


打开环境

直接给出源代码,代码审计

<?php

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}
?>

_SERVER['HTTP_X_FORWARDED_FOR'],$_SERVER['REMOTE_ADDR'],把用户IP设置为用户的x_forwarded_for
传入一个host参数,连续对host用escapeshellarg和escapeshellcmd处理
这俩函数没见过,查一下

escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,并且还是确保安全的。对于用户输入的部分参数就应该使用这个函数。shell 函数包含 exec(), system() 执行运算符 
escapeshellcmd() 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 此函数保证用户输入的数据在传送到 exec() 或 system() 函数,或者 执行操作符 之前进行转义

这两个函数放在一起肯定会造成漏洞(不然为啥放在简短的源代码里)
果然可以查到这两个函数的漏洞
PHP escapeshellarg()+escapeshellcmd() 之殇

传入的参数是:172.17.0.2' -v -d a=1
经过escapeshellarg处理后变成了'172.17.0.2'\'' -v -d a=1',即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。
经过escapeshellcmd处理后变成'172.17.0.2'\\'' -v -d a=1\',这是因为escapeshellcmd对\以及最后那个不配对儿的引号进行了转义:http://php.net/manual/zh/function.escapeshellcmd.php
最后执行的命令是curl '172.17.0.2'\\'' -v -d a=1\',由于中间的\\被解释为\而不再是转义字符,所以后面的'没有被转义,与再后面的'配对儿成了一个空白连接符。所以可以简化为curl 172.17.0.2\ -v -d a=1',即向172.17.0.2\发起请求,POST 数据为a=1' 

它们在配合时并没有考虑到单引号带来的隐患                   

就是说两次转义后单引号出问题了
再往下看,system会执行nmap的命令,扫描$host指定的机器
很显然我们需要利用nmap来做些什么


文章作者: Lock
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Lock !
评论
 上一篇
[ZJCTF 2019]NiZhuanSiWei [ZJCTF 2019]NiZhuanSiWei
打开环境,直接给出了源代码 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&a
2020-02-10
下一篇 
[极客大挑战 2019]Secret File [极客大挑战 2019]Secret File
打开环境查看源代码,发现一个页面 跳转过去点一下secret看到这个页面果断上burp得到另一个页面跳转过去得到代码 <?php highlight_file(__FILE__); error_reporting(0
2020-02-09
  目录