[RoarCTF 2019]Easy Calc -wp

打开环境，发现一个简单的计算器，查看源码
提示上了waf，然后还有一个calc.php，访问页面

出现一段代码，接下来进行代码审计。
对num传参，过滤了一些字符，最后一个eval函数，这里很容易就想到代码执行漏洞。
当你任意传一个字母进去时候，会发现waf拦截，这里可以利用PHP的字符串解析特性绕过waf，简单来讲当你传?%20num=aaa;时php会默认删除空格等同于?num=aaa; ，但是waf会认为你没有传参，参数num被%20截断，这样就可以绕过waf检测。
绕过后传入phpinfo（）发现成功执行，一开始考虑上传一句话，然后发现php代码的过滤就是专门用来过滤一句话的

看一下哪些函数被过滤
发现可以用
? num=var_dump(scandir(/))来查看上层目录
但/被过滤，可以用chr(47)绕过（感觉也可以通过这种方式上一句话，但试了一下没连上）
```
payload:calc.php?%20num=var_dump(file_get_contents(chr(47).f1agg))

![在这里插入图片描述](https://img-blog.csdnimg.cn/20200621101808476.png)