本文详细分析了一道BUUCTF 2018在线工具挑战,涉及到PHP代码审计和远程代码执行(RCE)。通过研究escapeshellarg和escapeshellcmd函数的交互,发现了一个可以导致RCE的漏洞。尽管在某些情况下,攻击者可以改变单引号的闭合顺序以执行自定义代码,但在特定环境中,如使用分号或其它分隔符时,代码并未执行,而是作为nmap的参数。作者提出了利用nmap命令-oG将字符串写入文件,然后通过蚁剑或菜刀等工具进一步利用的方法。
打开题目发现有提示,php和rce,初步推断是一道php代码审计的远程代码执行类型的题目,果然,进入靶场是一段php代码
前面部分是获取用户IP的,虽然我们可以操作X-Forwarded-For,但是并没有什么用。再往下,发现有个get传参,还有两个以前没有见过的函数,但初步推测应该是对字符串进行处理的,然后是新建了一个目录,并且将工作区转移到了新建目录下。最后关键部分,使用system执行了nmap的扫描命令,后面拼接上了我们传入的参数。这道题的重点就在我们能否将我们的输入当作代码的一部分执行。
再回过头来看这两个函数干了什么,再想怎么进行构造
escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数 escapeshellarg()
将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传
入 shell函数,并且还是确保安全的。对于用户输入的部分参数就应该使用这个函数。shell 函数包含
exec(), system() 执行运算符 。
按我的理解和测试,它是给一个字符串中的所有单引号都进行转义,并且用两个单引号当作连接字符再拼接回去。(后面有调试)
escapeshellcmd — shell 元字符转义
escapeshellcmd() 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。此函数保证用户输
入的数据在传送到 exec() 或 system() 函数,或者 执行操作符 之前进行转义。
反斜线(\)会在以下字符之前插入: #&;`|*?~<>^()[]{}$\, \x0A 和 \xFF。 ' 和 " 仅在不配对儿
的时候被转义。在 Windows 平台上,所有这些字符以及 % 都会被空格代替。(译注:实际测试发现在
Windows 平台是前缀 ^ 来转义的。)
最低0.47元/天 解锁文章
扫一扫
313
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
