浅析CTF绕过字符数字构造shell(3)

PHP5中，assert()是一个函数，我们可以用=assert;_()这样的形式来执行代码。但在PHP7中，assert()变成了一个和eval()一样的语言结构，不再支持上面那种调用方法。但PHP7.0.12下还能这样调用。

分析下这个Payload，?>闭合了eval自带的<?标签。接下来使用了短标签。{}包含的PHP代码可以被执行，~"%a0%b8%ba%ab"为"_GET"，通过反引号进行shell命令执行。最后我们只要GET传参%a0即可执行命令。

在PHP7中，我们可以使用($a)()这种方法来执行命令。所以可以用取反构造payload执行命令。(~%8F%97%8F%96%91%99%90)();执行phpinfo函数，第一个括号中可以是任意的表达式。但是这里不能用assert()来执行函数，因为php7不支持assert()函数。

在PHP5中不再支持($a)()方法来调用函数，在膜拜P神的无字母数字webshell之提高篇后，有了新的启发。如何在无字母，数字，$的系统命令下getshell？我们利用在Linux shell下两个知识点

1，shell下可以利用.来执行任意脚本

2，Linux文件名支持glob通配符代替

从图可以看出，我们可以成功用.+文件名来执行文件，但是当使用通配符来执行文件时，系统会执行匹配到的第一个文件。

在这两个条件下我们可以想到，如果我们可以上传一个文件，用.来执行这个文件就可以成功getshell。

那么我们怎么上传文件呢？上传文件成功后文件又保存在哪里？怎么匹配执行？