Есть сайт с php include

Вид: index.php?sub_cat=

В начале добавляется sub/ , в конце .php

Попробовал получить /etc/passwd с нулевым байтом в конце, сработало.

Конструкция вида ../../../../../../../../../../etc/passwd%00 отлично работает, sub/ в начале не добавляется.

Возникает вопрос, а как залить шелл? Как отбросить в начале sub/ ?

Через /proc/self/environ не получается, данные не пишутся