BUUCTF:[GXYCTF2019]Ping Ping Ping
本文知识点:
- 变量替换
${}和命令替换$():
变量替换:I F S , 大括号中的是一个变量,这个的功能就是将变量的值展开出来,比如假设有一个变量 ‘ a = 123 ‘ , ‘ {IFS},大括号中的是一个变量,这个的功能就是将变量的值展开出来,比如假设有一个变量`a=123`,`IFS,大括号中的是一个变量,这个的功能就是将变量的值展开出来,比如假设有一个变量‘a=123‘,‘{a}`就会输出123
命令替换:( ) , 圆括号中的是命令,会当作命令执行,然后将输出当作内容来替换。比如 ‘ (), 圆括号中的是命令,会当作命令执行,然后将输出当作内容来替换。比如`(),圆括号中的是命令,会当作命令执行,然后将输出当作内容来替换。比如‘(pwd)`就是执行pwd后的输出来替换。
例如,
${IFS}就会出现命令找不到的错误,如下图
$(pwd)就会将当前的路径输出,如下图
变量绕过字符串的过滤,比如"flag",可以使用
a=fl;b=ag;cat $a$b进行替换,这样就相当与执行cat flag
xargs的命令,这个命令会将前面的输出保存起来,给后续的命令传递命令行的参数。用于不支持导管的命令。比如本次的绕过还可以通过
ls|xargs$IFS$1cat来进行绕过。
题目网页
如下图,题目好像在暗示可以传递一个ip的参数。
初步尝试
这里可能含有注入的漏洞或则命令执行的漏洞, 经过测试是命令执行的漏洞,如下图:
- 过滤了空格
- 使用
cat<绕过空格好像也不行
- 使用
more<也不行,那可能是过滤了<符号
看题解
- 经过几次尝试,都失败了,我就不知道怎么绕过了,题解说题目过滤了
{和},所以可以$IFS$1,其中$1用来分隔字符串, 如下图
- 使用上述的方法得到源码,查看过滤,发现前面使用的
{}()&*?<>都被过滤, 如下图
绕过方法
为了不被正则表达式
.*f.*l.*a.*g.*匹配到,因为正则表达式.*可以匹配任何长度的字符串,因此必须打乱"flag"的顺序,可以使用变量的方式ip=127.0.0.1;a=ag;b=fl;cat$IFS$1$b$a.php进行绕过,如下图:使用
ls|xargs cat命令绕过,如下图
)
