来源：

buuctf

题目：

WP:

首先sanbox会生成一个目录，但是不影响后续操作。

然后host经过escapeshellarg和escapeshellcmd校验，需要绕过。

查了下发现这两个函数一起用会有漏洞，导致单引号无法被成功转义可以进行命令注入。利用条件如下：

1、shell语句（注意引号前后均有空格）：' shell '

2、escapeshellcmd会转义导致;|& 无法使用，shell中不能用到这些符号。

同时由于题目和前面语句有拼接，必须利用已有的nmap语句执行命令，因此需要到nmap的-oG命令保存结果生成木马。payload如下：

执行后获得文件夹目录：

蚁剑连接：

找到flag：

flag{f25cc940-aaa3-4ce6-9051-0eeeb50c1f75}