[RoarCTF 2019]Easy Calc

查看源码发现calc.php文件

calc.php文件

本题考查PHP字符串解析漏洞
PHP将查询字符串（在URL或正文中）转换为内部${}_{G}ET或的关联数组$_POST。例如：/?foo=bar变成Array([foo] => “bar”)。值得注意的是，查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如，/?%20news[id%00=42会转换为Array([news_id] => 42)

PHP将所有参数转换为有效的变量名
删除空白字符
将某些字符和空格转换为下划线

源码中可以看到/被过滤了使用ASCII 47绕过，scandir()函数和chr()函数
scandir() 函数返回指定目录中的文件和目录的数组
payload

?%20num=var_dump(scandir(chr(47)))

找到了flag，使用file_get_contents()函数加ASCII码进行拼接flagg，对应的ASCII码为47、102、49、97、103、103
payload

?%20num=file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))

人生漫漫其修远兮，网安无止境。
一同前行，加油！