这是一道典型的 PHP 代码审计与绕过题通常出现在 CTF 比赛中。题目核心在于通过 eval() 函数执行任意代码以获取 Flag。执行点eval(echo new$v1($v2()););但是v1v2都被正则限制被禁用的字符包括绝大多数特殊符号包括括号 ()、分号 ;、美元符号KaTeX parse error: Undefined control sequence: \、 at position 6: 、反斜杠 \̲、̲引号等以及所有数字 [0-9…v1 和 $v2 中只能包含纯英文字母。致命细节注意到 $v2 在 eval 中是以 $v2() 的形式被调用的而正则中禁用了括号 ()。因此我们不能在 $v2 的输入中自带括号必须让它保持纯字母依赖代码原本自带的 () 执行。例如若 $v2 ‘phpinfo’则会被解析执行为 phpinfo()因为受到严格的字母限制无法使用 system() 等需要传参的函数我们必须利用 PHP 的内置类 来读取文件我们需要寻找一个满足以下条件的 PHP 内置类类名完全由纯字母组成配合 $v1。其构造函数接受一个字符串参数。或者是可以通过 echo 直接输出该对象的实例即该类实现了 __toString() 魔术方法。核心武器FilesystemIterator 或 GlobIteratorFilesystemIterator用于遍历文件系统目录。GlobIterator可以通过匹配模式遍历文件目录支持通配符 *。当使用 echo 打印这些类的实例时它们会默认返回当前目录下的第一个文件名。具体构造与构造链步骤第一步查看当前目录下的文件由于 $v2 会以 $v2() 形式执行我们需要找到一个不需要参数、返回值为字符串或可用路径的内置函数。getcwd这是一个完美的函数。getcwd() 不需要参数返回当前工作目录的绝对路径字符串。如果我们传入v1 FilesystemIteratorv2 getcwdeval 实际执行的语句将是echonewFilesystemIterator(getcwd());发现有一个文件名为fl36dga.txt的我们尝试访问这里直接在原url后加上文件名就可以访问在原 URL 后面加上 fl36dga.txt 就能直接访问这并不是因为题目代码执行了什么逻辑而是因为 Web 服务器如 Apache、Nginx的核心工作原理。我们可以把这个过程拆解为两个层面Web 服务器的“文件映射”机制为什么能直接访问当你访问一个网站时例如 http://example.com/Web 服务器的后台其实对应着服务器硬盘上的一个具体文件夹通常称为 Web 根目录比如 /var/www/html/。当你访问 http://example.com/index.php 时服务器就会去根目录下找到 index.php 这个文件通过 PHP 解释器执行它然后把结果发给你的浏览器。同理如果你在上一阶段通过漏洞发现了当前目录下还有一个叫 flag.php 的文件你直接在浏览器输入 http://example.com/flag.phpWeb 服务器就会绕过原本的 index.php直接去读取并执行 flag.php。这就是为什么你不需要再去研究怎么构造复杂的 Payload直接修改 URL 就能访问它的原因。为什么有时候直接访问 flag.php 却看不到 Flag虽然你可以直接访问它但在实际的 CTF 比赛中你大概率会遇到以下两种情况情况 A页面是一片空白原因flag.php 内部的代码通常是这样写的PHP?php $flag flag{this_is_a_fake_flag}; ?或者它只是把 Flag 赋值给了一个变量但没有使用 echo 或 print 把它打印出来。结果Web 服务器确实执行了这个文件但因为代码没有输出任何内容所以你看到的浏览器页面是一片空白。情况 B权限被拒绝403 Forbidden或找不到404 Not Found原因出题人为了防止你“爆破文件名直接下载”通常会把 flag.php 放在 Web 根目录之外例如放在 / 根目录下或者 /var/ 目录下。结果这时候Web 服务器的 URL 根本无法直接映射到这个文件。你通过浏览器无论怎么输入 URL 都访问不到它。总结什么时候该用什么方法因此在得到 Flag 的文件名或路径后最稳妥的思路是先尝试直接访问在 URL 后面直接改成 flag.php。如果出题人偷懒Flag 直接写在 HTML 里面或者直接 echo 出来了你就能直接秒杀此题右键查看网页源代码防止被浏览器隐藏。如果直接访问失败空白或403说明必须通过题目自带的漏洞去读取文件内容。这时候就需要用上一步提到的 SplFileObject 配合 session_id() 的方法强行让后台代码把 flag.php 的内部源码读出来并打印在网页上。
ctf show web入门110
发布时间:2026/6/10 15:07:35
这是一道典型的 PHP 代码审计与绕过题通常出现在 CTF 比赛中。题目核心在于通过 eval() 函数执行任意代码以获取 Flag。执行点eval(echo new$v1($v2()););但是v1v2都被正则限制被禁用的字符包括绝大多数特殊符号包括括号 ()、分号 ;、美元符号KaTeX parse error: Undefined control sequence: \、 at position 6: 、反斜杠 \̲、̲引号等以及所有数字 [0-9…v1 和 $v2 中只能包含纯英文字母。致命细节注意到 $v2 在 eval 中是以 $v2() 的形式被调用的而正则中禁用了括号 ()。因此我们不能在 $v2 的输入中自带括号必须让它保持纯字母依赖代码原本自带的 () 执行。例如若 $v2 ‘phpinfo’则会被解析执行为 phpinfo()因为受到严格的字母限制无法使用 system() 等需要传参的函数我们必须利用 PHP 的内置类 来读取文件我们需要寻找一个满足以下条件的 PHP 内置类类名完全由纯字母组成配合 $v1。其构造函数接受一个字符串参数。或者是可以通过 echo 直接输出该对象的实例即该类实现了 __toString() 魔术方法。核心武器FilesystemIterator 或 GlobIteratorFilesystemIterator用于遍历文件系统目录。GlobIterator可以通过匹配模式遍历文件目录支持通配符 *。当使用 echo 打印这些类的实例时它们会默认返回当前目录下的第一个文件名。具体构造与构造链步骤第一步查看当前目录下的文件由于 $v2 会以 $v2() 形式执行我们需要找到一个不需要参数、返回值为字符串或可用路径的内置函数。getcwd这是一个完美的函数。getcwd() 不需要参数返回当前工作目录的绝对路径字符串。如果我们传入v1 FilesystemIteratorv2 getcwdeval 实际执行的语句将是echonewFilesystemIterator(getcwd());发现有一个文件名为fl36dga.txt的我们尝试访问这里直接在原url后加上文件名就可以访问在原 URL 后面加上 fl36dga.txt 就能直接访问这并不是因为题目代码执行了什么逻辑而是因为 Web 服务器如 Apache、Nginx的核心工作原理。我们可以把这个过程拆解为两个层面Web 服务器的“文件映射”机制为什么能直接访问当你访问一个网站时例如 http://example.com/Web 服务器的后台其实对应着服务器硬盘上的一个具体文件夹通常称为 Web 根目录比如 /var/www/html/。当你访问 http://example.com/index.php 时服务器就会去根目录下找到 index.php 这个文件通过 PHP 解释器执行它然后把结果发给你的浏览器。同理如果你在上一阶段通过漏洞发现了当前目录下还有一个叫 flag.php 的文件你直接在浏览器输入 http://example.com/flag.phpWeb 服务器就会绕过原本的 index.php直接去读取并执行 flag.php。这就是为什么你不需要再去研究怎么构造复杂的 Payload直接修改 URL 就能访问它的原因。为什么有时候直接访问 flag.php 却看不到 Flag虽然你可以直接访问它但在实际的 CTF 比赛中你大概率会遇到以下两种情况情况 A页面是一片空白原因flag.php 内部的代码通常是这样写的PHP?php $flag flag{this_is_a_fake_flag}; ?或者它只是把 Flag 赋值给了一个变量但没有使用 echo 或 print 把它打印出来。结果Web 服务器确实执行了这个文件但因为代码没有输出任何内容所以你看到的浏览器页面是一片空白。情况 B权限被拒绝403 Forbidden或找不到404 Not Found原因出题人为了防止你“爆破文件名直接下载”通常会把 flag.php 放在 Web 根目录之外例如放在 / 根目录下或者 /var/ 目录下。结果这时候Web 服务器的 URL 根本无法直接映射到这个文件。你通过浏览器无论怎么输入 URL 都访问不到它。总结什么时候该用什么方法因此在得到 Flag 的文件名或路径后最稳妥的思路是先尝试直接访问在 URL 后面直接改成 flag.php。如果出题人偷懒Flag 直接写在 HTML 里面或者直接 echo 出来了你就能直接秒杀此题右键查看网页源代码防止被浏览器隐藏。如果直接访问失败空白或403说明必须通过题目自带的漏洞去读取文件内容。这时候就需要用上一步提到的 SplFileObject 配合 session_id() 的方法强行让后台代码把 flag.php 的内部源码读出来并打印在网页上。
相关文章
创梦汤锅学习日记day28
今天用coze的工作流工具自己创作了一个游戏开发小助手智能体,大概了实现了几个如闲聊,代码生成、图片素材生成、生成提示词优化等功能。ue5和cocos的学习暂时没时间推进,会放在明天继续完成补学
CANoe测试工程师必看:CAPL全局变量在多个Simulation Node里到底怎么用?
CANoe多节点测试实战:CAPL全局变量的隐秘机制与跨节点通信方案在汽车电子系统测试领域,Vector CANoe作为行业标准工具链的核心,其CAPL编程能力直接影响测试效率与可靠性。当测试场景从单一节点扩展到多节点协同仿真时,许多工程师都…
MySQL查看数据库编码、数据表编码、排序规则(乱码问题彻底解决)
MySQL查看数据库编码、数据表编码、排序规则(乱码问题彻底解决)摘要:MySQL中文乱码、表情存储失败、数据排序错乱、数据库迁移报错,99%都是字符集和排序规则不统一导致的。很多开发和运维不知道如何精准查询数据库、数据表、字段的…
ESP32小屏幕玩出花:用TFT_eSPI库在1.3寸ST7789上显示动态天气和传感器数据
ESP32小屏幕玩出花:用TFT_eSPI库在1.3寸ST7789上显示动态天气和传感器数据当一块1.3寸的ST7789屏幕遇上ESP32,能碰撞出怎样的火花?这不仅仅是点亮几个像素点那么简单。想象一下,你的桌面上摆放着一个精致的小设备,实时…
PLC课程设计避坑指南:台车呼叫系统里那些老师没讲的‘骚操作’
PLC课程设计避坑指南:台车呼叫系统里那些老师没讲的‘骚操作’第一次接触PLC课程设计时,我被分配到一个台车呼叫系统的项目。看着那些闪烁的指示灯和来回移动的小车,我以为这不过是个简单的逻辑控制问题。直到深夜调试时,台车突然…
别再手动算脉冲了!用STM32的编码器接口模式,5分钟搞定电机测速(附代码)
STM32硬件编码器模式:5分钟实现高精度电机测速的工程实践 在机器人底盘开发中,电机转速测量是个绕不开的经典问题。传统的中断计数法不仅代码臃肿,还容易因中断延迟导致脉冲丢失。最近在给实验室的巡线小车升级时,我发现了STM32内…
N皇后遗传算法实战:Python手写GA核心模块详解
1. 这不是教科书,而是一次真实的GA项目复盘:从Matlab到Python的N皇后实战手记 你点开这篇文章,大概率不是为了背诵“遗传算法是模拟生物进化过程的优化方法”这种定义。你真正想搞清楚的是:当一个真实项目摆在面前——比如用遗传算…
从日期到月份:uniapp picker的fields属性详解与3个实战应用场景
从日期到月份:uniapp picker的fields属性详解与3个实战应用场景在移动应用开发中,日期选择是一个常见但容易被低估的功能需求。大多数开发者会直接使用默认的日期选择器,却很少深入探索其背后的灵活配置。uniapp的picker组件通过fields属性提…
uni-app picker的fields=‘month‘,你可能没注意的这3个坑和优化技巧
uni-app月份选择器深度优化:避开3个隐藏陷阱与实战技巧在移动端开发中,日期选择器是最常用的交互组件之一。当我们需要用户选择月份而非具体日期时,uni-app的picker组件配合fieldsmonth参数看似简单,实则暗藏玄机。本文将揭示三个…
NomNom存档编辑器架构解析:跨平台游戏数据管理技术实现深度剖析
NomNom存档编辑器架构解析:跨平台游戏数据管理技术实现深度剖析 【免费下载链接】NomNom NomNom is the most complete savegame editor for NMS but also shows additional information around the data youre about to change. You can also easily look up each …
从导航软件到游戏寻路:用C++手把手实现Dijkstra最短路径算法(附完整代码)
从导航软件到游戏寻路:用C手把手实现Dijkstra最短路径算法每次打开手机地图导航,或是操控游戏角色穿越复杂地形时,背后都藏着一个数学魔法——最短路径算法。Dijkstra算法作为图论中的经典解决方案,从1956年诞生至今,已…
告别B站收藏夹吃灰:用BiliTools让每一秒学习都物超所值
告别B站收藏夹吃灰:用BiliTools让每一秒学习都物超所值 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …
LED驱动技术全解析:从核心架构到实战选型与避坑指南
1. 从一颗灯珠到千亿市场:LED驱动的技术演进与商业逻辑十几年前,当我第一次从料盘上拿起一颗0603封装的白色LED时,它微弱的光晕和高达几块钱的单颗成本,让我很难想象今天它几乎照亮了我们生活的每一个角落。从手机屏幕的一抹背光&…
索引堆及其优化
索引堆及其优化 引言 索引堆是一种数据结构,广泛应用于计算机科学和软件工程领域。它主要用于解决优先队列问题,如最小堆和最大堆。本文将详细介绍索引堆的概念、实现方法以及优化策略。 索引堆的定义 索引堆是一种基于堆数据结构的索引机制。它通过维护一个堆来存储数据…
从零到日增237精准粉丝,我靠CSDN这张AI卡片爆了!手把手复刻全流程,含配置避坑清单
更多请点击: https://intelliparadigm.com 第一章:CSDN AI 数字营销的官方引流卡片是什么功能? CSDN AI 数字营销平台推出的「官方引流卡片」,是一种面向技术创作者的轻量级、可嵌入式内容分发组件,专为提升博文、教程…
Zotero Duplicates Merger:5步彻底清理文献库重复条目
Zotero Duplicates Merger:5步彻底清理文献库重复条目 【免费下载链接】ZoteroDuplicatesMerger A zotero plugin to automatically merge duplicate items 项目地址: https://gitcode.com/gh_mirrors/zo/ZoteroDuplicatesMerger 还在为文献库中堆积如山的重…
利用随机有限集理论对蜂群的ILQR和MPC控制研究附Matlab代码
✅作者简介:热爱科研的Matlab仿真开发者,擅长数据处理、建模仿真、程序设计、完整代码获取、论文复现及科研仿真。🍎 往期回顾关注个人主页:Matlab科研工作室🍊个人信条:格物致知,完整Matlab代码及仿真咨询…
为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因
更多请点击: https://intelliparadigm.com 第一章:为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因 Gemini邮件的客户转化效率(CTE)显著偏低,根本原因常被误判为…