在这篇文章中，我总结了在参与CTF比赛过程中积累的关于PHP无参数远程代码执行（RCE）的经验。由于一直以来时间有限，今天终于有机会整理这些知识点。

可能用到的函数（PHP的内置函数）

localeconv() 函数返回一个包含本地数字及货币格式信息的数组，第一个值是.

pos() 返回数组中的当前单元，默认取第一个值

next() 将内部指针指向数组的下一个元素并输出

scandir() 扫描目录

array_reverse() 翻转数组

array_flip() 键名与数组值对调

readfile() 读取文件

array_rand() 随机读取键名

var_dump() 输出数组，可以使用print_r替代

file_get_contents() 读取文件的内容

show_source highlight_file echo 可替代

get_defined_vars() 返回由所有的一定义的变量所组成的数组

end() 将数组的内部指针移动到数组的最后一个元素，并返回这个元素的值。

current() 读取数组的第一个元素

方式1

利用get_defined_vars()函数的特性进行RCE

比如

然后我们假装使用GET传参，利用current()获取第一个参数_GET

然后我们可以利用end()获取_GET中的最后一个参数值

利用这个特性我们可以构造payload

code=eval(end(current(get_defined_vars())));&c=system('ls');//先获取到所有的元素，然后获取第一个参数。end获取第一个参数的最后一个元素的值，这里相当于是获取_GET参数的最后一个元素的值也就是$C的值system('ls');.然后通过eval()执行

方式2

利用**localeconv()**读取当前目录文件的内容

利用**pos(localeconv())获取. 然后使用scandir()获取当前目录的文件。然后通过array_flip()将键值调换，键值的位置替换到键的位置上去。再使用array_rand()随机读取一个键，这个键可能是我们想要读取的敏感文件。然后我们再使用read_file()**读取文件内容

方式3

另外一种方法（通过pos(localeconv()获取一个. 再用scandir 获取当前目录文件，再通过next(array_reverse)获取flag.php ，最后readfile读取文件）

http://target.com/?code=readfile(next(array_reverse(scandir(pos(localeconv())))));