一.#

前置条件：

1
if(preg_match("/[A-Za-oq-z0-9$]+/",$cmd))
2
if(preg_match("/\~|\!|\@|\#|\%|\^|\&|\*|\(|\)|\（|\）|\-|\_|\{|\}|\[|\]|\'|\"|\:|\,/",$cmd))
3
eval($cmd);

禁止： 大写字母 A-Z、小写字母 a-o 和 q-z、数字 0-9、符号 $

禁止： 大部分常见的特殊符号。

留下： 小写字母 p、 .（点）、/（斜杠）、;（分号）、?（问号）、>、<、=、\（反斜杠）、|（管道符）以及 ```（反引号）。

1.#

1
isset($_GET['syc']) && preg_match('/^Welcome to GEEK 2023!$/i', $_GET['syc']) && $_GET['syc'] !== 'Welcome to GEEK 2023!'

把这段分成四个部分。

第一个部分要求传入数据给参数syc，get方法，且必须传入数据。

preg_match将我们传入给参数syc的数据跟前面的字符串作比较，/...../ 内表示正则表达，^ 表示开始，$ 表示结束，i：忽略大小写。

后面的又要求我们传入的数据不能完全等于Welcome to GEEK 2023!。

因为前面的虽然要求我们等，但可以大小写不同，所以只要改一个字母就行了。

2.类型转化#

1
intval($_GET['lover']) < 2023 && intval($_GET['lover'] + 1) > 2024

intval() 在解析字符串时，会从左往右读取，直到遇到第一个非数字字符为止。

比如：intval("1e10") 会返回 1

PHP 使用 + 运算符处理字符串和数字时，它会尝试将字符串转换为数值（float 或 int）。同时它也能识别科学计数法。

所以我们如果传入1e10，这样前面的读取数值只到1，而后面的加法得到的实际数字为1*10^10+1，当然大于2024了。

3.转化类型时的强比较哈希#

1
 if (isset($_POST['qw']) && $_POST['yxx']) {
2
            $array1 = (string)$_POST['qw'];
3
            $array2 = (string)$_POST['yxx'];
4
            if (sha1($array1) === sha1($array2))

POST方法传数据给两个参数qw和yxx，又用string将我们的数据强制转化成字符串的类型，后面又强制比较两者的哈希值必须完全一样，

因为string在将数组转化为字符串时，统一转化为Array，如果两个参数都是数组，那转化的字符串就一样了，哈希值当然就一样了。

qw[]=1&yxx[]=2

4.#

1
                if (isset($_POST['SYC_GEEK.2023'])&&($_POST['SYC_GEEK.2023']="Happy to see you!")) {
2
                    echo $flag;

这边有些鸡贼，因为实际上后面是赋值没有作用，要看起那么的issert，我们需要对这个参数传入任意数据。

可以在 PHP 中如果我们填写的参数中存在 . 这个符号时，在实际上会被强制转化为_，比如如果我们写的是 1.2A=1 实际操作上会变成 1_2A=1。

但是又存在 如果参数名中出现 [，PHP 会将其替换为 _，但之后其它的字符（如点号）将不再被替换。这样的机制，因此我们就可以利用。

比如 SYC[GEEK.2023=1。