源代码如下：

<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    if(preg_match("/php|flag|data|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\_|\+|\=/i", $file)){
        die("error");
    }
    include($file);
}else{
    highlight_file(__FILE__);
}

代码比较简短，看到后面的include语句就知道考察的点是文件包含了，然后就是过滤语句，preg_match()以正则表达式的形式比配传递的内容，这里过滤的算是非常严了，过滤关键字php和data直接放弃使用filter和data伪协议，甚至许多符号同样被过滤，传统的思路肯定是行不通的。

没啥思路，这里百度了一波，竟真找到一种比较神奇的姿势：

通过修改user-agent文件头为恶意代码，nginx在解析时会将网站的请求日志写入对应的log文件中（其实apache也类似）。这也算是nginx中间件的一个特色了，自身存储的日志中包含有UA信息，并且发现网站恰好为nginx，且版本还比较低。

抓包修改UA：写入phpinfo()

之后在浏览器中访问nginx的默认日志文件地址：

/var/log/nginx/access.log
/var/log/nginx/error.log

在phpinfo()中未看见flag，看来要上传一句话马了，步骤同上：
User-Agent:
蚁剑连接：

最后flag在根目录下查看。

总结：其实这里的利用成功的前提条件挺多的，

1. 需要知道nginx默认文件的位置（保证默认日志文件位置未更改）
2. 日志文件可以执行php脚本文件
3. nginx日志文件可以被访问，例如这里我测试的 /var/log/nginx/error.log 是没办法访问的

应在先考虑使用伪协议读取文件和执行命令的前提下再使用写入日志文件的方法，然而伪协议这个点同样也具有很多的绕过思路，例如双url编码，base64编码绕过…