ctf show web入门101

这是一道代码审计与绕过题
所以我们先看代码

我们发现一个核心就是

v0=is_numeric(v1)andisnumeric(v1) and is_numeric(v1)andisn​umeric(v2) and is_numeric(v3);if(v3); if(v3);if(v0){
if(!preg_match(“/\\|/|~|`|!|@|#|\$|%|^|*|)|-|_|+|=|{|[|”|‘|,|.|;|?|[0-9]/“, $v2)){
if(!preg_match(”/\\|/|~|`|!|@|#|\$|%|^|*|(|-|_|+|=|{|[|"|’|,|.|?|[0-9]/“,KaTeX parse error: Expected '}', got 'EOF' at end of input: … eval("v2(‘ctfshow’)$v3”);
}
这里看似要求v1、v1、v1、v2、v3必须全部为数字。但这其实是一个经典的PHP优先级陷阱！赋值运算符=的优先级高于逻辑运算符and。因此，这行代码在实际执行时等价于：(v3 必须全部为数字。但这其实是一个经典的 PHP 优先级陷阱！ 赋值运算符 = 的优先级高于逻辑运算符 and。 因此，这行代码在实际执行时等价于： (v3必须全部为数字。但这其实是一个经典的PHP优先级陷阱！赋值运算符=的优先级高于逻辑运算符and。因此，这行代码在实际执行时等价于：(v0 = is_numeric(v1))andisnumeric(v1)) and is_numeric(v1))andisn​umeric(v2) and is_numeric($v3);

所以只要v1为数字，$v0就是true我们要利用v2v3来构造payload
但是代码对v2v3进行了严格的正则匹配过滤
我们观察发现v2过滤了；但是没过滤（
v3过滤了（但是没过滤；
现在我们的目的就是构造一个合法的php语句

既然提示说了 flag in class ctfshow，并且代码本身已经实例化了该类：$ctfshow = new ctfshow();。我们需要通过某些反射、命名空间或输出函数来把这个对象的内容打印出来。
在 PHP 中，像 var_dump、print_r 这样的函数由于包含了下划线 _（被v2过滤了），无法直接使用。我们可以选择使用echo或getdefinedvars（但含有下划线不可用），或者直接利用类名与特殊函数。构造方法一：利用ReflectionClass（反射类）PHP的ReflectionClass可以直接输出一个类的完整结构（包括属性和静态变量）。我们希望最终eval执行的语句是：echonewReflectionClass(′ctfshow′);对照拼接模板：v2 过滤了），无法直接使用。 我们可以选择使用 echo 或 get_defined_vars（但含有下划线不可用），或者直接利用 类名与特殊函数。 构造方法一：利用 ReflectionClass（反射类） PHP 的 ReflectionClass 可以直接输出一个类的完整结构（包括属性和静态变量）。 我们希望最终 eval 执行的语句是：echo new ReflectionClass('ctfshow'); 对照拼接模板：v2过滤了），无法直接使用。我们可以选择使用echo或getd​efinedv​ars（但含有下划线不可用），或者直接利用类名与特殊函数。构造方法一：利用ReflectionClass（反射类）PHP的ReflectionClass可以直接输出一个类的完整结构（包括属性和静态变量）。我们希望最终eval执行的语句是：echonewReflectionClass(′ctfshow′);对照拼接模板：v2(‘ctfshow’)$v3
我们令：
$v2 = echo new ReflectionClass
$v3 = ;
检查过滤：
$v2（echo new ReflectionClass）：没有数字，没有被过滤的特殊字符。满足条件
v3（;）：v3（;）：v3（;）：v3 的黑名单里没有分号 ;。满足条件

所以我们构造的payload为:
?v1=1&v2=echo new reflectionclass&v3=;

这里发现flag格式跟之前不同首先把0x2d改为-因为在 ASCII 编码中，十进制 45 对应字符 -（连字符/减号）
然后再套上一层ctfshow{}外壳

在 PHP 中，使用 echo new ReflectionClass(‘ctfshow’); 能够直接输出 flag，是因为 PHP 的“反射机制” 具有直接透视对象内部结构的能力，并且触发了 PHP 的 自动字符串转换（__toString 魔术方法）。
为了让你彻底明白，我们可以把它拆解为两个核心原理：

1. 什么是 ReflectionClass（反射类）？
   在正常的面向对象编程中，如果你想看一个类里面的内容，你必须先知道它的属性名或方法名，然后去调用它。如果类里的变量是私有的（private 或 protected），外部甚至无法直接访问。
   而 ReflectionClass 是 PHP 自带的一个内置“上帝视角”工具。
   它的作用是逆向工程。只要你把类名（‘ctfshow’）传给它，它就会把这个类的所有秘密全部提取出来。
   无论是公共属性、私有属性、静态变量、方法，还是类中定义的常量（Flag 通常藏在这里），都会被它一览无余地抓取到内存中。
2. 为什么配合 echo 就能直接打印出来？
   通常情况下，echo 只能用来打印字符串（比如 echo “hello”;）。如果你尝试 echo 一个普通的对象，PHP 会直接报错：Object of class X could not be converted to string。
   但是，PHP 的内置 ReflectionClass 内部实现了一个特殊的魔术方法：__toString()。
   运作流程：
   实例化：new ReflectionClass(‘ctfshow’) 创建了一个反射对象，里面包含了 ctfshow 类的所有结构信息。
   触发转换：当你对这个反射对象执行 echo 时，PHP 会自动去调用这个对象内部的 __toString() 方法。
   格式化输出：ReflectionClass 的 __toString() 被设计得非常智能，它会自动把这个类的结构格式化为一个排版漂亮的纯文本字符串