CTF实战:绕过Ping命令注入中的空格过滤(GXYCTF2019题解)
CTF实战:绕过Ping命令注入中的空格过滤(GXYCTF2019题解)
在网络安全竞赛中,命令注入是一种常见且危险的漏洞类型。本文将深入探讨GXYCTF2019比赛中一道经典的Ping命令注入题目,重点分析如何巧妙绕过空格过滤机制,获取系统敏感信息。
1. 命令注入基础与题目分析
命令注入漏洞通常出现在Web应用程序中,当用户输入被直接拼接到系统命令中执行时,攻击者可以通过精心构造的输入执行任意系统命令。在GXYCTF2019的这道题目中,我们面对的是一个简单的Ping服务接口。
题目特征分析:
- 接口URL接受
ip参数,如/?ip=127.0.0.1 - 后端使用Windows系统(通过响应特征判断)
- 存在基本的命令注入漏洞(可通过分号
;注入额外命令) - 实施了空格过滤机制(
fxck your space!提示)
注意:在实际CTF比赛中,发现命令注入点后应立即考虑过滤机制,避免盲目尝试触发防护措施。
2. 空格过滤的常见绕过技术
当空格被过滤时,我们需要寻找替代方案来分隔命令参数。以下是几种有效的绕过方法:
2.1 IFS变量替代法
IFS(Internal Field Separator)是shell中的内部字段分隔符,默认包含空格、制表符和换行符。我们可以利用它来替代空格:
/?ip=127.0.0.1;cat$IFS$9flag.php技术细节:
$IFS引用变量值$9是shell中的第9个参数(通常为空),用于确保语法正确- 也可以使用
${IFS}或{IFS}形式
2.2 其他特殊字符替代
除了IFS,还可以使用以下字符替代空格:
| 替代方式 | URL编码 | 示例命令 |
|---|---|---|
| 制表符 | %09 | cat%09flag.php |
| 重定向符 | < | cat<flag.php |
| 花括号 | {} | {cat,flag.php} |
2.3 字符串拼接绕过
当直接访问flag.php被过滤时,可以尝试变量拼接:
/?ip=127.0.0.1;a=fl;b=ag;cat$IFS$a$b.php优势:
- 避免直接出现敏感字符串
- 可灵活组合绕过多种过滤规则
3. 进阶绕过技巧
3.1 Base64编码执行
当直接命令执行受限时,可以通过编码转换绕过:
/?ip=127.0.0.1;echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh分解说明:
Y2F0IGZsYWcucGhw是cat flag.php的base64编码- 通过管道
|将编码传递给base64解码 - 最终通过
sh执行解码后的命令
3.2 内联命令执行
利用反引号或$()实现内联执行:
/?ip=127.0.0.1;cat$IFS$9`ls`原理:
- 先执行
ls命令获取文件列表 - 将结果作为
cat命令的参数 - 适用于不确定目标文件名的情况
3.3 通配符技巧
当部分字符被过滤时,可尝试通配符匹配:
/?ip=127.0.0.1;cat$IFS$9f*.php4. 实战解题步骤总结
基于GXYCTF2019题目的完整解题流程:
探测注入点:
/?ip=127.0.0.1;ls确认过滤规则:
- 尝试直接读取flag文件,发现空格过滤
- 检查index.php源码了解完整过滤规则
选择绕过方式:
- 优先尝试IFS替代
- 如遇关键字过滤,采用字符串拼接
最终Payload:
/?ip=127.0.0.1;b=ag;a=fl;cat$IFS$1$a$b.php获取Flag:
- 查看网页源代码
- 寻找flag格式的字符串
在实际CTF比赛中,命令注入类题目往往需要结合多种绕过技术。理解每种方法的适用场景和原理,才能在比赛中快速找到解决方案。