BUUCTF靶场35 -- [BUUCTF 2018]Online Tool

mind

BUUCTF靶场35 -- [BUUCTF 2018]Online Tool PHP  RCE [PHP] 纯文本查看 复制代码 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_file(__FILE__); } else { $host = $_GET['host']; $host = escapeshellarg($host); $host = escapeshellcmd($host); $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']); echo 'you are in sandbox '.$sandbox; @mkdir($sandbox); chdir($sandbox); echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host); }

熟悉PHP语言的同学一定对PHP执行命令的方法感受深刻，PHP内置的命令执行函数（如shell_exec、system），都只接受一个“字符串”作为参数。而在内核中，这个字符串将被直接作为一条shell命令来调用，这种情况下就极为容易出现命令注入漏洞。

由于这个特点，PHP特别准备了两个过滤函数：

• escapeshellcmd($arg)
• escapeshellarg($arg)
  

二者分工不同，前者为了防止用户利用shell的一些技巧（如分号、反引号等），执行其他命令；后者是为了防止用户的输入逃逸出“参数值”的位置，变成一个“参数选项”。

但我在0x02中也已经说清楚了，如果开发者在拼接命令的时候，将$query直接给拼接在“参数选项”的位置上，那用escapeshellarg也就没任何效果了。

Java、Python等语言，执行命令的方法相对来说更加优雅：

referer:

    1. 谈escapeshellarg绕过与参数注入漏洞：https://www.leavesongs.com/PENET ... eter-injection.html

    2. PHP escapeshellarg()+escapeshellcmd() 之殇：https://paper.seebug.org/164/