kuzemax的博客

为啥var到eeee,一开始我个人觉得是这么整var->new Easy()->new eeee()我这里是试出来的因为原来构造出来的行不通，后来问了问学长说看var那个类里就行，obj-check(var)，obj给那个有call的类，那个没有check方法，调call，call里有clone函数，clone var之后会调var的__clone。像REST API，往往我们的请求需要多个API，每个API是一个类型。多输入几位看看有多少行数据，测试了一下，有12列，可以更换列名，挨个尝试。

is_numeric函数对于空字符%00，无论是%00放在前后都可以判断为非数值，而%20空格字符只能放在数值后，因为查看函数发现该函数对于第一个空格字符会跳过空格字符直接判断后面的内容。如果指定的变量是数字和数字字符串则返回 TRUE，否则返回 FALSE，浮点型返回空值即 FALSE，不仅检查十进制，同时也检查十六进制。1）当某个数字被过滤时，可以使用它的 8进制/16进制来绕过；比如过滤10，就用 5+5 或 2*5。2）对于弱比较（a==b），可以给a、b两个参数传入空数组，使弱比较为true。

可以看到的是没有过滤|这个符号，然后exec执行是没有回显的，这个题目是需要用linux的一个命令，”tee“将想要执行的命令写入到一个文件里面，然后再去访问这个文件，以此来执行这个命令。url=l\s / | tee 1.txt 之后访问我们传入的文件1.txt，发现命令被执行。本来应该是url=ls/ 可是ls被过滤掉了，然后看别的up主说，l\s可以代替ls |是执行以下命令的意思。

然后测试了一下，=号果不其然也被略过，like可以顶替等于号。/**/是空格的一个格式，发现一共有三列。

【代码】[NISACTF 2022]popchains。

php?

updatexml只输出前31位。

版权声明：本文为CSDN博主「Sk1y」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。原文链接：https://blog.csdn.net/RABCDXB/article/details/113733607。

php://filter/convert.base64-encode/resource=文件路径。看见allow_url_include 状态为on，想到了。，用filter读取flag.php里面的信息构造。

例如：$json = ‘{“a”:1,“b”:2,“c”:3,“d”:4,“e”:5}’;当该参数为 TRUE 时，将返回 array 而非 object。json_decode — 对 JSON 格式的字符串进行编码。接受一个 JSON 格式的字符串并且把它转换为 PHP 变量。待解码的 json string 格式的字符串。