來源：

buuctf

題目：

WP:

首先sanbox會生成一個目錄，但是不影響后續(xù)操作。

然后host經(jīng)過escapeshellarg和escapeshellcmd校驗，需要繞過。

查了下發(fā)現(xiàn)這兩個函數(shù)一起用會有漏洞，導(dǎo)致單引號無法被成功轉(zhuǎn)義可以進(jìn)行命令注入。利用條件如下：

1、shell語句（注意引號前后均有空格）：' shell '

2、escapeshellcmd會轉(zhuǎn)義導(dǎo)致;|& 無法使用，shell中不能用到這些符號。

同時由于題目和前面語句有拼接，必須利用已有的nmap語句執(zhí)行命令，因此需要到nmap的-oG命令保存結(jié)果生成木馬。payload如下：

執(zhí)行后獲得文件夾目錄：

蟻劍連接：

找到flag：

flag{f25cc940-aaa3-4ce6-9051-0eeeb50c1f75}