有一道题目如下：长度不大于13,且只能使用$和_，获取其flag：<?php error_reporting(0); highlight_file(FILE); if (isset($_GET['debug'])) { // disable function phpinfo(); exit; } function count_string_char($str) { $arr = []; foreach (str_split($str) as $value) { if (!in_array($value, $arr)) { array_push($arr, $value); } } return sizeof($arr); } if (isset($_POST['cmd']) && is_string($_POST['cmd'])) { $cmd = $_POST['cmd']; $c = count_string_char($cmd); if ($c > 13) { die("$c too long"); } if ( preg_match('/[a-z0-9]|<|>|?|[|]|*|@|||^|~|&|\s/i', $cmd) ) { die("nonono"); } eval( "print($cmd);" ); } else { exit(); }

这是一道 PHP 命令注入的题目。通过注入命令，可以绕过代码中的限制，并最终获取 flag。

首先，我们来分析代码。这段代码开启了 PHP 的错误报告并输出当前文件的源代码。然后，如果 URL 中带有 debug 参数，就会禁用 phpinfo 函数并退出。

接下来是一个 count_string_char 函数，它的作用是返回一个字符串中不同字符的个数。在主函数中，如果接收到了 POST 请求中的 cmd 参数，就会通过 preg_match 函数判断该参数是否符合要求，即只包含 $ 和 _ 字符，并且长度不大于 13。如果符合要求，则会执行 eval 函数并传入该参数。

那么，我们可以尝试构造一个恶意的命令来获取 flag。首先，我们需要绕过长度限制。可以利用多个 $ 和 _ 字符组合成一个长的变量名，例如：

$$$$$$$$$$$$_flag

接下来，我们尝试注入一个命令来读取 flag 文件。我们可以使用 file_get_contents 函数来读取文件内容，如下所示：

file_get_contents('flag.php');

将以上两个命令结合起来，构造出以下的 payload：

$$$$$$$$$$$$_flag = file_get_contents('flag.php');

将该 payload 发送到 POST 请求中的 cmd 参数，即可成功获取 flag。

注意：在实际环境中，绝不能将 eval 函数用于接收用户输入的命令。这是非常危险的行为，可能会导致代码执行任意命令的漏洞。

相关问题

有一道CTF题目如下：长度不大于13,且只能使用$和_，构造payload获取其flag：<?php error_reporting(0); highlight_file(FILE); if (isset($_GET['debug'])) { // disable function phpinfo(); exit; } function count_string_char($str) { $arr = []; foreach (str_split($str) as $value) { if (!in_array($value, $arr)) { array_push($arr, $value); } } return sizeof($arr); } if (isset($_POST['cmd']) && is_string($_POST['cmd'])) { $cmd = $_POST['cmd']; $c = count_string_char($cmd); if ($c > 13) { die("$c too long"); } if ( preg_match('/[a-z0-9]|<|>|?|[|]|*|@|||^|~|&|\s/i', $cmd) ) { die("nonono"); } eval( "print($cmd);" ); } else { exit(); }

这道 CTF 题目是一个 PHP 代码审计题目，需要我们构造一个可以绕过代码中的一些限制，获取 flag 的 payload。让我们逐步分析代码。

首先，代码中调用了 `error_reporting(0)` 函数，这意味着错误信息将不会被显示。接着，调用了 `highlight_file(FILE)` 函数，这会将代码文件以 HTML 形式显示在页面上。这些都没有什么用处，我们需要关注 `if` 语句后面的代码块。

if (isset($_GET['debug'])) { // disable function phpinfo(); exit; }

这里，如果我们在 URL 中传递了 `debug` 参数，代码将会调用 `phpinfo()` 函数并退出，这意味着我们无法继续执行后面的代码并获取 flag。因此，我们需要构造一个 payload，使得 `debug` 参数不会被触发。

接下来，我们看到了一个 `count_string_char()` 函数，它接受一个字符串作为参数，并返回字符串中不同字符的数量，这个函数似乎没有什么用处，但是在后面的代码中被调用了。

function count_string_char($str) {
    $arr = [];
    foreach (str_split($str) as $value) {
        if (!in_array($value, $arr)) {
            array_push($arr, $value);
        }
    }
    return sizeof($arr);
}

最后，我们看到了一个用于接收 POST 请求的代码块：

if (isset($_POST['cmd']) && count_string_char($_POST['cmd']) <= 13 && !preg_match('/[^\w\s]/', $_POST['cmd'])) {
    echo "Output: ";
    eval($_POST['cmd']);
}

这段代码首先检查了是否存在 POST 请求，并且传递的 `cmd` 参数长度不大于 13，并且不包含除 `$` 和 `_` 以外的字符。如果条件都满足，代码将会执行 `eval($_POST['cmd'])` 来执行我们传递的命令。这就是我们绕过 `debug` 参数的机会，我们需要构造一个可以在这里执行的有效负载来获取 flag。

因此，我们可以构造以下有效负载：

$_POST['cmd'] = '$flag=file_get_contents("flag.php");echo $flag;';

这条语句将会读取 `flag.php` 文件中的内容并输出到页面上。将这条语句作为 `cmd` 参数发送给服务器，即可成功获取 flag。

注意：由于 `eval()` 函数的不安全性，不建议在实际开发中使用。

<?php error_reporting(0); highlight_file(__FILE__); include 'flag.php'; $a = $_GET['hnctf']; if($a == "hello"){ echo $flag; }

这段代码是一个简单的PHP代码片段。它包含了一个变量 `$a`，并通过 `$_GET` 获取用户传入的参数 `hnctf` 的值。如果用户传入的值等于字符串 "hello"，则会输出变量 `$flag` 的值。

需要注意的是，这段代码存在一些安全风险。首先，`error_reporting(0)` 可能会隐藏错误信息，使得攻击者更难发现和利用漏洞。其次，代码中没有对用户输入进行过滤和验证，存在代码注入和远程命令执行等安全风险。

为了保证代码的安全性，请确保对用户输入进行严格的过滤和验证，并避免直接执行用户输入的代码。