[每日一题]某新生赛的无参数RCE

只能说我tcl,做了半天

进入得源码

 
看这个过滤就是无参数RCE，也就是函数一直套，然后套出你想要执行的命令，a(b(c()))，但是不能带参数比如a(b(c(“123123”)))。
 然后这个过滤非常之严格，file过滤了，那么常规的file,readfile等等都用不了，然后print_r也不能用，通过参考文章了解到可以用uniqid加上strrev函数随机取值然后爆破出我们想要的字符
 echo(implode(scandir(chr(strrev(uniqid())))));
 让他打印出当前目录下的文件，最后爆破得到
 
 当前目录下有个zzzzzz.php，怀疑flag就在里面，按照文章内容来说，他给的是file然后读取，通过implode函数来转换，但是这题过滤掉了。
 通过本地种种调试，最后得出这样爆破的payload:
 show_source(end(scandir(chr(strrev(uniqid())))));
 还有一种
 var_dump(show_source(pos(array_reverse(scandir(chr(ord(hebrev(crypt(time())))))))));
 最后得到flag