这个题我想记录一下，主要是这个方法属实是有点惊艳到我了。故而进行记录，也为了方便大家阅读理解。

看题目，根据题目我写一下我的分析：

$_POST传入一个v1，$_GET传入一个v2，一个v3。

赋值符号=   优先级高于and,所以$v2=$v4

is_numeric — 检测变量是否为数字或数字字符。

substr — 返回字符串的子串

call_user_func — 把第一个参数作为回调函数调用

 file_put_contents — 将一个字符串写入文件

<?php

highlight_file(__FILE__);
$v1 = $_POST['v1'];
$v2 = $_GET['v2'];
$v3 = $_GET['v3'];
$v4 = is_numeric($v2) and is_numeric($v3);
if($v4){
    $s = substr($v2,2);
    $str = call_user_func($v1,$s);
    echo $str;
    file_put_contents($v3,$str);
}
else{
    die('hacker');
}


?>

根据上面的函数解释再看一遍源代码。

分析出来：1、 $s = substr($v2,2);由此可知，返回$v2的前三位；

                  2、$str = call_user_func($v1,$s);由此可知$v1是函数,$s是参数

                  3、给v3一定要传入一个文件名字，这样才能构造出来一个接受$str的文件

原本我的想法是：$v3传1.php，$v1传system，但是卡在了$v2传不下去了

参考了大师傅的想法和各位万能的网友的wp后，感觉大有所获，来详细分享。

大师傅wp:

 所以对应的我们可以反着来

同时在参考大家的wp的时候学到了一个知识点:在以上$c前加11可以使其在base64编码时产生乱码，可以绕过substr的截断，这点真的很重要。

hex2bin — 转换十六进制字符串为二进制字符串

bin2hex — 函数把包含数据的二进制字符串转换为十六进制值

以下为此方法构造命令的新姿势，只是谈谈思路：

那么已经有了这种思路我们是否能够通过这种思路自己构造命令呢？？

当然可行，试试。

 构造一条获取f*文件的命令，创建一个1.php文件

执行代码，得到命令。

不死心，再试试

但是有点可惜的是并没有把flag回显出来虽然回显出来了东西

还是需要查看源代码才能看到flag，很可惜啊。 

 如果有师傅能直接回显出来flag的话，真的真的真的，请教教我，谢谢各位师傅啦！！！