CTFHub技能树web之RCE（一）

RCE是php的代码执行简称，是Remote Command Exec(远程命令执行)和Remote Code Exec(远程代码执行)的缩写;Command指的是操作系统的命令，code指的是脚本语言(php)的代码。

第一题：eval执行

根据代码可以看到该网页使用request得到cmd参数并使用eval执行cmd的代码，其中isset函数用于检测是否传入了一个名为cmd的变量的值（是否非空），eval是将一串字符作为php代码执行,$_REQUEST默认包含了$_GET，$_POST 和 $_COOKIE 的数组，本题中通过hackbar使用get方法传递参数

使用system("ls");语句

flag文件不在本级目录中，查看上一层的目录

找到flag文件

使用cat指令获取flag文件中的flag

第二题：文件包含

strpos函数的作用是查找字符串首次出现的位置，即file中不能包含flag这个字符串

题目中有一个shell的超链接，点开查看

本题中通过file文件包含shell.txt，并通过控制shell.txt中的ctfhub参数实现RCE。

flag文件在上一层目录中，使用cat读取flag文件

第三题：php://input

substr函数是返回字符串的子串，意思是如果file的前六个字符为php://，那么就会包含file文件

查看phpinfo，allow_url_fopen和allow_url_include状态均为On。

allow_url_fopen是一个在PHP中经常使用的开关，它允许PHP从远程服务器下载数据或打开远程文件。可以将其视为一个开关，打开它可以允许我们读取远程文件，关闭它则可以防止远程文件读取。

allow_url_include作用是是否允许includeI()和require()函数包含URL（HTTP，HTTPS）作为文件处理

只有当allow_url_fopen=On和allow_url_include=On时，include等其他包含函数才会将URL代表的文件包含执行

因此本题中可以让file等于php://input，从而通过post传参进行RCE

使用hackbar传递POST请求，file为php://input使得POST参数可以作为原始请求的数据，使用bp抓包，即可看到执行POST参数中代码后的内容

使用cat获取flag文件中的内容

第四题：读取源代码

先尝试使用php://input，发现无回显，使用php://filter

直接得到flag