题目

分析

ping 一个任意 ip：

拼一个命令试试：

看来是命令执行漏洞，直接查看 flag.php，发现存在空格过滤：

尝试绕过空格过滤：

还有 { } 符号过滤。

过滤了 flag 关键字，尝试绕过：

过滤了单双引号。

\ 符号、\$+数字、\$+@ 没有用。

变量拼接没有输出。

看看 index.php：

<?php
if(isset($_GET['ip'])){
  $ip = $_GET['ip'];
  if(preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{1f}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){
    // 执行正则表达式，在变量ip中匹配到&、/、?、*、<、ASCII表前32个控制字符、>、'、"、\、(、)、[、]、{、}赋给变量match。若匹配到则输出1，否则输出0
    echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match);
    // 输出fxck your symbol!并退出当前脚本
    die("fxck your symbol!");
    // 否则若匹配到空格
  } else if(preg_match("/ /", $ip)){
    // 输出fxck your space!并退出当前脚本
    die("fxck your space!");
    // 否则若匹配到bash
  } else if(preg_match("/bash/", $ip)){
    // 输出fxck your bash!并退出当前脚本
    die("fxck your bash!");
    // 否则若依次匹配到f、l、a、g
  } else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
    // 输出fxck your flag!并退出当前脚本
    die("fxck your flag!");
  }
  // 执行命令ping -c 4 拼接变量ip，输出作为字符串给变量a
  $a = shell_exec("ping -c 4 ".$ip);
  // 输出两个空行
  echo "

";
  // 输出变量a
  print_r($a);
}

?>

也就是说，如果依次匹配到 f l a g 四个字符也会退出脚本，理论上变量拼接是满足要求的。

查找资料发现 $ 符号后的部分会被当成一个变量，除非读取到下一个 $ 符号；由于 shell 变量不能以数字开头，所以 $ +数字的组合表示向脚本传递某个位置参数；同时，shell 变量的命名规则中不包含 . 。
也就是说变量需要从后往前拼接，如：