题目
源代码
<?php
highlight_file(__FILE__);
error_reporting(0);
$_ping = $_GET['Ping_ip.exe'];
if(isset($_ping)){system("ping -c 3 ".$_ping);
}else{$data = base64_encode(file_get_contents("error.png"));echo "<img src='data:image/png;base64,$data'/>";
}直接给出了我们的源代码,我来简单的进行一些代码解说。
这代码非常简单,先是需要我们以get的方式提交参数Ping_ip.exe。然后我们提交的参数会在system()函数中与ping命令连接在一起进行执行。
那么很明了的思路就是使用我们的cat命令抓取我们的flag。
system("ping -c 3 ".$_ping);可以看到我们这里面的ping命令形式是不完整的,所以我们必须要先补全我们的ping命令再进行cat命令抓取。
那么第一个陷阱点出现了,我们必须提交的参数是Ping_ip.exe但是:
PHP中我们变量名只有数字字母下划线,被get或者post传入的变量名,如果含有空格、+、[则会被转化为_,如果传入[,它被转化为_之后,后面的字符就会被保留下来不会被替换。
可以看到如果直接提交则会发生错误。
所以我们必须先转义前面的字符,以防止后面的点被转义。
为了使其转义为下划线所以我们选择使用[来替换。
payload
/?Ping[ip.exe=127.0.0.1;cat /flag
 "Forbidden (CSRF cookie not set.)")
