一天一道ctf 第20天(escapeshellarg和escapeshellcmd)

最新推荐文章于 2023-12-14 10:28:47 发布
原创 最新推荐文章于 2023-12-14 10:28:47 发布 · 989 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何利用PHP中的escapeshellarg()和escapeshellcmd()函数漏洞进行代码注入,通过构造payload创建一句话木马并利用nmap工具将结果写入文件,最终获取flag。尽管该漏洞已被修复,但文章提供了理解此类安全问题的思路。

[强网杯 2019]高明的黑客
在这里插入图片描述
作者直接告诉我们源码备份在www.tar.gz,这样就不用扫网站目录了,省了不少时间。
在这里插入图片描述
靠当我没有说,这里面几千个文件,怪不得43M。那人工代码审计是不可能的了,只能靠跑脚本。这里观摩了一下网上大神写的脚本:
https://blog.youkuaiyun.com/a3320315/article/details/102945940
主要是看一下脚本的思路,等以后有能力了再做一遍。

[BUUCTF 2018]Online Tool
在这里插入图片描述
这里的知识点是escapeshellarg()和escapeshellcmd() 两个函数
https://paper.seebug.org/164/
这篇文章讲的很详细了我就不复述了

利用这个漏洞的地方就在下面的system(“namp…”)里,system函数在命令行里执行nmap命令。nmap是一个扫描工具,可以添加参数-oG实现将命令和结果写到文件。
那么payload就是这个一句话木马


                

                
                
        

    


  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    

      

        

            

              
                
                  scrawman
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
浅谈CTFescapeshellarg的利用

				
			

			

				

					读万卷书,行万里路。
				

				

					08-09
					
					6026
					
				

			

		

		

			
				
浅谈 escapeshellarg 的利用
文章目录浅谈 escapeshellarg 的利用0 前言1 参数注入2 逃逸字符2.1 cat flag2.2 freepoint3 总结
0 前言
escapeshellarg 的作用是把字符串转码为可以在 shell 命令里使用的参数。(escapeshellarg  escapeshellcmd 相似,主要看是否有引号)
在 CTF 可能被用于:

参数注入(开发人员错误的使用 escapeshellarg 函数)
逃逸字符(该函数非二进制安全)

1 

			
		

	



                

            
              



	

		

			

				
					
day5-escapeshellargescapeshellcmd使用不当

				
			

			

				

					qq_45951598的博客
				

				

					01-09
					
					2420
					
				

			

		

		

			
				
文章目录Day 5 - postcardescapeshellcmd()函数escapeshellarg()函数小案列总结:
Day 5 - postcard
escapeshellcmd()函数

escapeshellarg()函数
escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数

小案列
可见两个函数配合使用就会导致多个参数的注入。

1、传入的参数是:172.17.0.2’ -v -d a=1


2、经过escapeshellarg处理后变成了’172.17.

			
		

	



              


  
              

                


	

		

			

				
					
PHP escapeshellarg()+escapeshellcmd()绕过

				
			

			

				

					rev1ve的博客
				

				

					12-08
					
					4302
					
				

			

		

		

			
				
这样的流程来处理输入是存在隐患的,mail就是个很好的例子,因为它函数内部使用了escapeshellcmd,如果开发人员仅用escapeshellarg来处理输入再传给mail那这层防御几乎是可以忽略的。如果可以注入参数,那利用就是各种各样的了,例如 PHPMailer  RoundCube 中的mail Naigos Core 中的 curl都是很好的参数注入的例子。当进行escapeshellarg()函数处理后,会先进行字符转义,变成如下。那么我们在传入参数的前面添加单引号,后面空格加单引号。

			
		

	





	

		

			

				
					
escapeshellarg()只是用来转义shell命令的部分参数

				
			

			

				

					weixin_30739595的博客
				

				

					03-22
					
					589
					
				

			

		

		

			
				
escapeshellarg()的说明是这里  原来以为这个函数可以用来把一整条shell命令转义像这样:  $sh = 'mysql -uroot -proot -Dtest < /var/www/test.com/sql/user (1).sql';
shell_exec(escapeshellarg($sh));



一试就出错了。。。。



仔细看了...

			
		

	



		

			
		



	

		

			

				
					
BUUCTF 2018 Online Tool(escapeshellargescapeshellcmd

				
			

			

				

					weixin_45577185的博客
				

				

					07-24
					
					317
					
				

			

		

		

			
				
答案博客
参考博客
百度来了一篇文章:
https://paper.seebug.org/164/
这两个函数按代码里那样的顺序使用,是会产生漏洞的,如果是反过来就不会。
escapeshellargescapeshellarg() 将给字符串增加一个 单引号 并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 命令执行函数,并且还是确保安全的。shell 命令执行函数包含 exec(), system() 执行运算符 (反引号)escapeshellcmd:
e

			
		

	





	

		

			

				
					
BUUCTF 2018 Online Tool(escapeshellargescapeshellcmd使用不当导致rce)

				
			

			

				

					qq_45521281的博客
				

				

					05-20
					
					1400
					
				

			

		

		

			
				
参考:
谈谈escapeshellarg参数绕过注入的问题
PHP escapeshellarg()escapeshellcmd()并用之殇
谈escapeshellarg绕过与参数注入漏洞
https://blog.youkuaiyun.com/qq_26406447/article/details/100711933
进入题目显示php源码:

这里用到escapeshellarg()escapeshellcmd()两个函数escapeshellargescapeshellarg() 将给字符串增加一

			
		

	





	

		

			

				
					
[红日安全]代码审计Day5 - escapeshellargescapeshellcmd使用不当

				
			

			

				

					hongrisec的博客
				

				

					03-31
					
					1169
					
				

			

		

		

			
				
点击订阅我们    红日一起成长 让安全如此精彩  


    
        
    


    红日安全出品|转载请注明来源 


    文中所涉及的技术、思路工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!(来源:红日安全)


    本文由红日安全成员: l1nk3r...

			
		

	





	

		

			

				
					
escapeshellarg  escapeshellcmd漏洞

				
			

			

				

					a3320315的博客
				

				

					01-31
					
					1483
					
				

			

		

		

			
				
[BUUCTF 2018]Online
[BUUCTF 2018]Online
谈escapeshellarg绕过与参数注入漏洞
命令参数注入



			
		

	





	

		

			

				
					
php escapeshellcmd

				
			

			

				

					刘阳龙Herman的专栏
				

				

					09-14
					
					1839
					
				

			

		

		

			
				
<br />除去字符串中的特殊符号。 <br />语法:string escapeshellcmd(string command);<br />返回值: 字符串 <br />函数种类: 操作系统与环境 <br /> <br /> 内容说明<br />本函数除去了字符串中的特殊符号,可以防止使用者耍花招来破解该服务器系统。可以用本函数搭配 exec() 或是 system() 二个函数,酱子可以减少网络上的使用者恶意的破晃募机会。 <br /> <br /> 使用范例<br /><?php<br />sys

			
		

	





	

		

			

				
					
PHP 中命令行调用 escapeshellarg 函数中文问题

				
			

			

				

					ModStartCMS的博客
				

				

					01-09
					
					420
					
				

			

		

		

			
				
这是因为 escapeshellarg 函数默认使用的是 ASCII 字符集,对于非 ASCII 字符,它会将其视为无效字符,并将其过滤掉。在这个例子中,$input 是一个用户输入的字符串,你可以使用 escapeshellarg 将它转义为安全的 shell 参数。escapeshellarg 是 PHP 中的一个函数,它可以将字符串转义为安全的 shell 参数。在 PHP 中,你可以使用 escapeshellarg 函数来保证传递给 shell 命令的参数是安全的。这样可以避免命令注入攻击。

			
		

	





	

		

			

				
					
escapeshellarg参数绕过注入的问题

				
			

			

				

					m0_75178803的博客
				

				

					12-14
					
					2850
					
				

			

		

		

			
				
将给字符串增加一个单引号并且能引用或者转义任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,并且还是确保安全的。PHP 将尝试将反引号中的内容作为 shell 命令来执行,并将其输出信息返回。用空格替换了百分号、感叹号(延迟变量替换)双引号,并在字符串两边加上双引号。在windows系统中,system函数直接在控制台调用一个command命令。参数,命令执行后的返回状态会被写入到此变量。参数, 那么会用命令执行的输出填充此数组。)都会被一个额外的反斜线所转义。

			
		

	





	

		

			

				
					
php escapeshellcmd,利用/绕过 PHP escapeshellarg/escapeshellcmd函数

				
			

			

				

					weixin_42138703的博客
				

				

					03-11
					
					2747
					
				

			

		

		

			
				
escapeshellargescapeshellcmd的功能escapeshellarg1.确保用户只传递一个参数给命令2.用户不能指定更多的参数一个3.用户不能执行不同的命令escapeshellcmd1.确保用户只执行一个命令2.用户可以指定不限数量的参数3.用户不能执行不同的命令让我们用groups去打印组里每个username成员$username = 'myuser';system(...

			
		

	





	

		

			

				
					
利用/绕过escapeshellarg/escapeshellcmd函数

				
			

			

				

					LYJ20010728的博客
				

				

					05-16
					
					6662
					
				

			

		

		

			
				
利用/绕过escapeshellarg/escapeshellcmd[1]escapeshellargescapeshellcmd的功能[2]已知的绕过/利用参数注入TARFINDEscapeshellcmdescapeshellarg用.bat执行命令SENDMAILCURLMYSQLUNZIP未设置LANG环境变量,则去除非ASCII字符[3]经典EXP[4]GitList RCE漏洞利用
[1]escapeshellargescapeshellcmd的功能

escapeshellarg:
(P

			
		

	





	

		

			

				
					
escapeshellarg  escapeshellcmd 绕过之[BUUCTF 2018]Online Tool

				
			

			

				

					qq_58970968的博客
				

				

					07-09
					
					1623
					
				

			

		

		

			
				
知识点:escapeshellarg  escapeshellcmd 绕过nmap -oG 参数,将结果命令写入到文件详细:参考谈谈escapeshellarg参数绕过注入的问题escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数功能 :escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,shell 函数包含 exec(), system() 执行运算符(反引号)我的理解

			
		

	





	

		

			

				
					
『PHP内核』PHP 7 escapeshellcmd底层探究

				
			

			

				

					Ho1aAs‘s Blog
				

				

					10-19
					
					1456
					
				

			

		

		

			
				
文章目录escapeshellcmd描述勘误静态调试PHP_FUNCTION(escapeshellcmd)PHPAPI zend_string *php_escape_shell_cmd(char *str)跳过多字节字符对有效字符转义检查结果有效性并返回动态调试常规输入输入多字节字符完
escapeshellcmd描述
escapeshellcmd归于程序执行类函数,对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。
escapeshellcmd(string $command): st

			
		

	





	

		

			

				
					
PHP escapeshellarg()+escapeshellcmd() 导致的漏洞

				
			

			

				

					东隅的博客
				

				

					09-12
					
					931
					
				

			

		

		

			
				
PHP escapeshellarg()+escapeshellcmd() 导致的漏洞

			
		

	





	

		

			

				
					
escapeshellargescapeshellcmd使用不当

				
			

			

				

					qq_37466661的博客
				

				

					08-20
					
					345
					
				

			

		

		

			
				
php代码审计 escapeshellargescapeshellcmd使用不当

			
		

	





	

		

			

				
					
2021-08-14BUUCTF 2018]Online Tool(escapeshellarg+escapeshellcmd函数连用导致rce、nmap -oG写shell转)

				
			

			

				

					qq_45290991的博客
				

				

					08-14
					
					441
					
				

			

		

		

			
				
本文转自大佬K0f1i先吐槽一下,搜到了漏洞也不会利用,会利用了看到这题也不知道getflag,????,砸挖鲁多,食我压路机啊!! 题目给了源码 
<?php
if (isset(KaTeX parse error: Double subscript at position 110: …string">'HTTP_X_̲FOR...

			
		

	





	

		

			

				
					
php 中 escapeshellarg 中文被过滤

				
			

			

				

					ricky1217的专栏
				

				

					11-04
					
					3965
					
				

			

		

		

			
				
同样的代码,发现通过 localhost/index.php 访问,在 shell 中通过 php ./index.php 运行結果却不一样。


在程序中需要通过 shell_exec 来执行一个 linux 程序,而它的输入来自 echo ,即:

shell_exec('echo '.escapeshellarg($str).' | some_cmd 2>&1');
而这个 $

			
		

	





	

		

			

				
					
ctf似乎是个加密“倒计时最后一天

					
最新发布

				
			

			

				

					09-13
				

			

		

		

			
				
CTF竞赛中常见的加密方式有多种,以下为你介绍几种不同加密方式对“倒计时最后一天”进行加密的示例。

### RSA加密
RSA是一种经典的非对称加密算法。参考示例中的Python代码,在实际应用时需先生成大素数 `p`  `q`,计算模数 `n`、欧拉函数 `s`、公钥指数 `e` 私钥指数 `d`,再使用公钥对明文进行加密。

```python
import gmpy2
from Crypto.Util.number import bytes_to_long

# 示例中的 p、q、e
p = 0xEB4360DF0E0C824D57AE20700BBF6C1BA8324A94DB7B3608DDA40DE07A59082F
q = 0xA5B8BA7304F15C70BA82FF60F8A4A5F156ED04896EC94A7E99B96B4E11727A8F
e = 0x10001

n = p * q
s = (p - 1) * (q - 1)
d = gmpy2.invert(e, s)

# 将明文转换为整数
plaintext = "倒计时最后一天"
m = bytes_to_long(plaintext.encode())

# 加密
c = pow(m, e, n)

print("加密后的密文: ", c)
```

### Base64编码
Base64是一种常见的编码方式,可将二进制数据编码为ASCII字符。Python中可使用`base64`库进行编码。

```python
import base64

plaintext = "倒计时最后一天"
encoded_bytes = base64.b64encode(plaintext.encode())
encoded_text = encoded_bytes.decode()

print("Base64编码后的结果: ", encoded_text)
```

### 凯撒密码
凯撒密码是一种简单的替换加密方法,将字母按照一定的偏移量进行替换。

```python
def caesar_encrypt(text, shift):
    encrypted = ""
    for char in text:
        if char.isalpha():
            ascii_offset = ord('A') if char.isupper() else ord('a')
            encrypted += chr((ord(char) - ascii_offset + shift) % 26 + ascii_offset)
        else:
            encrypted += char
    return encrypted

plaintext = "倒计时最后一天"
shift = 3  # 偏移量
encrypted_text = caesar_encrypt(plaintext, shift)

print("凯撒密码加密后的结果: ", encrypted_text)
```

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值