这是一道代码审计与绕过题
所以我们先看代码
我们发现一个核心就是
v0=is_numeric(v1)andisnumeric(v1) and is_numeric(v1)andisnumeric(v2) and is_numeric(v3);if(v3); if(v3);if(v0){
if(!preg_match("/\\|/|~|`|!|@|#|\\|%\|\^\|\*\|)\|-\|_\|+\|=\|{\|\[\|"\|'\|,\|.\|;\|?\|\[0-9\]/", v2)){
if(!preg_match("/\\|/|~|`|!|@|#|\\|%\|\^\|\*\|(\|-\|_\|+\|=\|{\|\[\|"\|'\|,\|.\|?\|\[0-9\]/", KaTeX parse error: Expected '}', got 'EOF' at end of input: ... eval("v2('ctfshow')v3");
}
这里看似要求 v1、v1、v1、v2、v3必须全部为数字。但这其实是一个经典的PHP优先级陷阱!赋值运算符=的优先级高于逻辑运算符and。因此,这行代码在实际执行时等价于:(v3 必须全部为数字。但这其实是一个经典的 PHP 优先级陷阱! 赋值运算符 = 的优先级高于逻辑运算符 and。 因此,这行代码在实际执行时等价于: (v3必须全部为数字。但这其实是一个经典的PHP优先级陷阱!赋值运算符=的优先级高于逻辑运算符and。因此,这行代码在实际执行时等价于:(v0 = is_numeric(v1))andisnumeric(v1)) and is_numeric(v1))andisnumeric(v2) and is_numeric($v3);
所以只要v1为数字,$v0就是true我们要利用v2v3来构造payload
但是代码对v2v3进行了严格的正则匹配过滤
我们观察发现v2过滤了;但是没过滤(
v3过滤了(但是没过滤;
现在我们的目的就是构造一个合法的php语句
既然提示说了 flag in class ctfshow,并且代码本身已经实例化了该类:$ctfshow = new ctfshow();。我们需要通过某些反射、命名空间或输出函数来把这个对象的内容打印出来。
在 PHP 中,像 var_dump、print_r 这样的函数由于包含了下划线 _(被 v2过滤了),无法直接使用。我们可以选择使用echo或getdefinedvars(但含有下划线不可用),或者直接利用类名与特殊函数。构造方法一:利用ReflectionClass(反射类)PHP的ReflectionClass可以直接输出一个类的完整结构(包括属性和静态变量)。我们希望最终eval执行的语句是:echonewReflectionClass(′ctfshow′);对照拼接模板:v2 过滤了),无法直接使用。 我们可以选择使用 echo 或 get_defined_vars(但含有下划线不可用),或者直接利用 类名与特殊函数。 构造方法一:利用 ReflectionClass(反射类) PHP 的 ReflectionClass 可以直接输出一个类的完整结构(包括属性和静态变量)。 我们希望最终 eval 执行的语句是:echo new ReflectionClass('ctfshow'); 对照拼接模板:v2过滤了),无法直接使用。我们可以选择使用echo或getdefinedvars(但含有下划线不可用),或者直接利用类名与特殊函数。构造方法一:利用ReflectionClass(反射类)PHP的ReflectionClass可以直接输出一个类的完整结构(包括属性和静态变量)。我们希望最终eval执行的语句是:echonewReflectionClass(′ctfshow′);对照拼接模板:v2('ctfshow')$v3
我们令:
$v2 = echo new ReflectionClass
$v3 = ;
检查过滤:
$v2(echo new ReflectionClass):没有数字,没有被过滤的特殊字符。满足条件
v3(;):v3(;):v3(;):v3 的黑名单里没有分号 ;。满足条件
所以我们构造的payload为:
?v1=1&v2=echo new reflectionclass&v3=;
这里发现flag格式跟之前不同首先把0x2d改为-因为在 ASCII 编码中,十进制 45 对应字符 -(连字符/减号)
然后再套上一层ctfshow{}外壳
在 PHP 中,使用 echo new ReflectionClass('ctfshow'); 能够直接输出 flag,是因为 PHP 的"反射机制" 具有直接透视对象内部结构的能力,并且触发了 PHP 的 自动字符串转换(__toString 魔术方法)。
为了让你彻底明白,我们可以把它拆解为两个核心原理:
- 什么是 ReflectionClass(反射类)?
在正常的面向对象编程中,如果你想看一个类里面的内容,你必须先知道它的属性名或方法名,然后去调用它。如果类里的变量是私有的(private 或 protected),外部甚至无法直接访问。
而 ReflectionClass 是 PHP 自带的一个内置"上帝视角"工具。
它的作用是逆向工程。只要你把类名('ctfshow')传给它,它就会把这个类的所有秘密全部提取出来。
无论是公共属性、私有属性、静态变量、方法,还是类中定义的常量(Flag 通常藏在这里),都会被它一览无余地抓取到内存中。 - 为什么配合 echo 就能直接打印出来?
通常情况下,echo 只能用来打印字符串(比如 echo "hello";)。如果你尝试 echo 一个普通的对象,PHP 会直接报错:Object of class X could not be converted to string。
但是,PHP 的内置 ReflectionClass 内部实现了一个特殊的魔术方法:__toString()。
运作流程:
实例化:new ReflectionClass('ctfshow') 创建了一个反射对象,里面包含了 ctfshow 类的所有结构信息。
触发转换:当你对这个反射对象执行 echo 时,PHP 会自动去调用这个对象内部的 __toString() 方法。
格式化输出:ReflectionClass 的 __toString() 被设计得非常智能,它会自动把这个类的结构格式化为一个排版漂亮的纯文本字符串