查看源码发现calc.php文件
calc.php文件
本题考查PHP字符串解析漏洞
PHP将查询字符串(在URL或正文中)转换为内部
G
E
T
或
的
关
联
数
组
_GET或的关联数组
GET或的关联数组_POST。例如:/?foo=bar变成Array([foo] => “bar”)。值得注意的是,查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如,/?%20news[id%00=42会转换为Array([news_id] => 42)
PHP将所有参数转换为有效的变量名
删除空白字符
将某些字符和空格转换为下划线
源码中可以看到/被过滤了使用ASCII 47绕过,scandir()函数和chr()函数
scandir() 函数返回指定目录中的文件和目录的数组
payload
?%20num=var_dump(scandir(chr(47)))
找到了flag,使用file_get_contents()函数加ASCII码进行拼接flagg,对应的ASCII码为47、102、49、97、103、103
payload
?%20num=file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))
人生漫漫其修远兮,网安无止境。
一同前行,加油!