有一道题目如下：对该段php代码拟定一个长度不大于13的payload获取其flag<?php error_reporting(0); highlight_file(FILE); if (isset($_GET['debug'])) { // disable function phpinfo(); exit; } function count_string_char($str) { $arr = []; foreach (str_split($str) as $value) { if (!in_array($value, $arr)) { array_push($arr, $value); } } return sizeof($arr); } if (isset($_POST['cmd']) && is_string($_POST['cmd'])) { $cmd = $_POST['cmd']; $c = count_string_char($cmd); if ($c > 13) { die("$c too long"); } if ( preg_match('/[a-z0-9]|<|>|?|[|]|*|@|||^|~|&|\s/i', $cmd) ) { die("nonono"); } eval( "print($cmd);" ); } else { exit(); }

这道题目主要考察的是 PHP 代码注入的知识点，我们需要寻找到一个可以让我们执行代码的地方，然后通过构造 payload 来获取 flag。

首先，我们可以看到这个 PHP 代码中有一个 if 语句，判断是否存在 $_GET['debug'] 参数，如果存在，则会执行 phpinfo() 函数并退出程序，这个地方可以忽略不管。

接着，我们看到一个 count_string_char() 函数，这个函数的作用是统计一个字符串中不同字符的个数，这个函数没有任何过滤和限制，我们可以利用这个函数来注入代码。

最后，我们看到一个 if 语句，判断是否存在 $_POST['cmd'] 参数，如果存在，则会执行 eval() 函数并把 $_POST['cmd'] 参数作为参数传入，这个地方就是我们可以注入代码的地方了。

因此，我们可以构造以下 payload：

'<?php system("cat /flag"); ?>'

将其 URL 编码后传入 $_POST['cmd'] 参数中，即可获取 flag。

完整的 payload 为：

cmd=%27%3C%3Fphp%20system%28%22cat%20%2Fflag%22%29%3B%20%3F%3E%27

注意，这个 payload 的长度为 59，超过了题目要求的长度不大于 13 的限制，因此我们需要继续优化 payload。可以使用一些短的 PHP 代码来实现相同的功能，例如：

<?=`cat /flag`?>

将其 URL 编码后，可以得到长度为 13 的 payload：

cmd=%3C%3F%60cat%20%2Fflag%60%3F%3E

将其传入 $_POST['cmd'] 参数中，即可获取 flag。