当一套题过滤了函数的参数（括号内的内容，有时候也可以通过过滤单双引号实现），但是没有过滤函数时就可以利用无参数RCE

这种题目的做法基本上就是，利用超级全局变量来进行bypass，利用函数的嵌套的替代参数的出现。然后进行任意文件读取。

利用函数通常为 eval system include 

通常我们会用到这些函数

    localeconv() – 函数返回一个包含本地数字及货币格式信息的数组 第一个是 .

    pos() – 返回数组中的当前单元, 默认取第一个值

    next – 将内部指针指向数组下一个元素并输出

    scandir() – 扫描目录

    array_reverse() – 翻转数组

    array_flip() - 键名与数组值对调
    array_pop() — 弹出数组中最后一个元素

    readfile()

    array_rand() - 随机读取键名

    var_dump() - 输出数组，可以用print_r替代

    file_get_contents() - 读取文件内容，show_source,highlight_file echo 可代替

    get_defined_vars() -  返回由所有已定义变量所组成的数组

    end() - 读取数组最后一个元素

    current() - 读取数组的第一个元素

    #php内置函数

只要将这些函数按照逻辑组合起来，就能实现任意文件读取

使用 get_defined_vars()

介绍 get_defined_vars()

这是一个用于返回由所有已定义变量所组成的数组

这个数组中第一个变量是$_GET

第二个变量是$_POST

• 我们就可以利用 pos(get_defined_vars())(current(get_defined_vars())) 和 next(get_defined_vars()) 分别获取$_GET 和 $_POST
• 然后再利用 array_pop() current pos end 来获得数组中第一个或者最后一个参数
• 利用 array_rand 随机获取取一个键名，同时可以搭配 array_flip() 将键名和键值对调，实现获取任意一个键值

利用这一点，我们可以通过传值来绕过无参数的限制，为其他函数提供我们想要的参数

介绍 localeconv()

 函数返回一个包含本地数字及货币格式信息的数组 第一个是 .

• 利用 pos(localeconv()) current(localeconv()) 可以获得字符串 . ，并利用这个点搭配 scandir() 扫描当前目录文件

介绍 readfile()

当我们把参数构造好后，就可以利用这个函数来实现任意文件读取

实例一

readfile(pos(next(get_defined_vars())));
POST ： 1=flag.php

// 读取当前目录下的 flag.php文件

实例二

readfile(array_rand(array_flip(scandir(pos(localeconv())))));

// 随机读取当前目录下的一个文件

总结

无参数RCE大体上就是通过上面的逻辑来实现的，用函数取构造参数，再用函数去执行这些被构造的参数，实现RCE