点开靶场

发现源码、以及抓包啥都看不出来

用dirsearch扫描发现是git源码泄露，用githack获取源码

查看源码发现最终目标要执行@eval($_GET['exp'])

要执行eval就要通过这些正则，第一个正则匹配不分大小写的php伪协议之类的

重点是第二个正则 

preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])

大概意思是传递的值是字符串a-z跟上()，然后就会被替换为空，(?R)?的意思是递归匹配。

递归完之判断是否只有;,成立则传进去的 exp 就会被 eval 执行。

举个例子:

a(b(c()));这样的就可以用，反之a('b','c')带有参数的就不能使用。

所以要构造无参数的函数进行命令执行

无参数任意文件读取：查看当前目录的文件名

        ?exp=print_r(scandir(pos(localeconv())));

scandir('.');可以用来查看当前目录所有文件名
问题是不能有参数，所以就要想办法来构造这个"."

ocaleconv()返回一包含本地数字及货币格式信息的数组。而数组第一项就是"."

pos()别名current()返回数组中的单元，默认取第一个值;所以pos(localeconv())就会返回数组的第一项且这个第一项刚好就是我们需要的"."

chr(46)也就是字符"."

所以也可以构造46；chr(current(localtime(time()))): 第一个值每秒+1，最多60秒可以得到46

hebrevcl(crypt(arg))可以随机生成一个hash值。第一个大概率是$,小概率是"."

print_r(scandir(chr(ord(hebrevc(crypt(time()))))));多刷新几次一定也能出

最后查看到flag在倒数第二个

再就是如何去读倒数第二个文件

array_reverse() 以相反的元素顺序返回数组；反过来之后flag就在第二个位置了。

next()j将数组中的指针向前移动一位；那么加上next指针就会指向flag了

再利用show_source()把flag读出来

?exp=show_source(next(array_reverse(scandir(current(localeconv())))));