ctf show web入门115

这是一道非常经典的 PHP 弱类型与特性绕过的 CTF 题目。核心目标是通过 ?num=xxx 传入一个参数，使得它能通过那一长串复杂的 if 条件判断，最终走到 echo $flag;。

我们把核心的判断条件列出来，需要同时满足以下 4个外部条件 和 1个内部条件：

if(is_numeric($num)// 1. 必须是一个数字或数字字符串and$num!=='36'// 2. 强类型比较，绝对不能等于字符串 '36'andtrim($num)!=='36'// 3. 去除首尾空格后，绝对不能等于字符串 '36'andfilter($num)=='36'// 4. 经过 filter() 函数过滤、替换后的结果，弱类型等于 '36'){if($num=='36'){// 5. 内部条件：$num 本身弱类型等于 '36'echo$flag;}}

关键函数 filter($num) 分析：
这个函数会把 $num 中的以下字符全部替换为 “1”：
0x (十六进制)
0
. (浮点数小数点)
e 或 E (科学计数法)

• (正号)

核心突破口：PHP 的弱类型与空白字符
我们要让一个字符串既满足 is_numeric，又在弱类型比较（==）下等于 36，同时还不能直接是 ‘36’。

绕过思路一：利用空白字符
PHP 的 is_numeric() 和弱类型比较 == 在处理数字时，会忽略字符串开头的某些空白字符（例如空格 %20、制表符 %09、换行符 %0a、回车 %0d、水平制表符 %0b、换页符 %0c 等）。

但是，题目中有一个条件叫 trim($num) !== ‘36’。

trim() 会去除：空格、\t、\n、\r、\0、\x0B。

注意： trim() 不会去除换页符 \f（URL编码为 %0c）。

如果我们传入 %0c36：
is_numeric(“%0c36”) ->True (PHP 认为它是数字 36)
“%0c36” !== ‘36’ -> True (强类型不相等)
trim(“%0c36”) -> 结果依然是 “%0c36”，所以 !== ‘36’ -> True
filter(“%0c36”) -> 里面没有要替换的字符，结果是 “%0c36”。在 filter($num) == ‘36’ 时，由于是弱类型比较，%0c36" 会被转换为数字 36 -> True
内部条件 “%0c36” == ‘36’ -> True所以我们构造payload为：?num=%0c36

为什么空格 %20、制表符 %09、换行符 %0a、回车 %0d、水平制表符 %0b不能绕过限制

字符编码 (URL),对应的空白字符类型,trim() 是否会切除？
%20,普通空格 (Space),会，直接切除
%09,制表符 (Tab),会，直接切除
%0a,换行符 (Line feed),会，直接切除
%0d,回车符 (Carriage return),会，直接切除
%00,空字节 (NUL-byte),会，直接切除
%0b,垂直制表符 (Vertical tab),会，直接切除
%0c,换页符 (Form feed),不会切除！

因为在 PHP 的底层逻辑中，当它遇到像 %20（空格）、%09（制表符）、%0a（换行）这类标准空白字符开头+数字的字符串时，is_numeric() 和弱类型比较 == 会自动忽略开头的空白，直接把后面的 36 提取出来进行计算。