[GXYCTF2019]Ping Ping Ping

• 多命令顺序执行

• linux空格过滤、字符过滤

1.根据提示，传入/?ip=127.0.0.1，发现有回显，所以传入/?ip=127.0.0.1|ls（|就是按位或，是一种管道符，直接执行|后面的语句）（ls命令可以展示目录），发现两个.php文件

2.想要获取flag.php,但是cat flag和{cat,flag}都不行，所以查看index.php，找到过滤规则。过滤了空格，flag（按顺序输出"f""l""a""g"就会被过滤），bash，"/" "\"，所以用$IFS$6(随机一个数字)代替空格（其他代替方式可以参照这个https://blog.csdn.net/sinat_34761046/article/details/114698231），可行，但是flag.php还是cat不到

/?ip=127.0.0.1;cat$IFS$6index.php

 

3.最后看其他师傅的wp才知道，这里需要把变量a重新赋值，绕过对flag的过滤查看源码，得到flag

（之前这里有一点不太明白，为什么把a重新赋值成其他字母都不行，只能是g，后来才知道，因为要先组成字符串，下一个命令才会执行，但如果把a赋值成其他字母，组成的字符串就满足"f""l""a""g"的顺序，就会被过滤）

• 把a重置成 f，还是被过滤了

• 把a重置成 g得到 flag

  最终：
  /?ip=127.0.0.1;a=g;cat$IFS$6fla&a.php