buuctf web [RoarCTF 2019]Easy Calc

试了一下，数字可以计算，但字符被过滤了，打开源码看看

源码里提示，有waf,并且发现了一个新页面

访问新页面

show_source（）

show_source()函数用于将指定文件的源代码输出到浏览器或者写入到文件中。

show_source(__FILE__);用于显示当前文件的源代码。

show_source()函数只能显示PHP文件的源代码，不能显示其他类型的文件。另外，由于安全原因，该函数默认情况下只能显示本地文件的源代码，无法显示远程文件的源代码。

foreach()

foreach 语句用于循环遍历数组。

每进行一次循环，当前数组元素的值就会被赋值给后一个变量（数组指针会逐一地移动） - 以此类推。

 

preg_match()

preg_match 函数用于执行一个正则表达式匹配。(查找前面内容是否在后面存在)

die()

die()函数输出一条消息，并退出当前脚本。

该函数是 exit() 函数的别名。

网页源码解释

 验证一下是否判断正确

 

这是被防火墙防了？

在?后加个空格试试

ps:

PHP将查询字符串（在URL或正文中）转换为内部$_GET或关联数组$_POST。值得注意的是，查询字符串在解析的过程中会将某些字符删除或用下划线代替。
例如：
/?foo=bar变成Array([foo]=> “bar”)。
/? foo=bar变成Array([foo]=> “bar”)。 //?号后有一个空格
/?+foo=bar变成Array([foo]=> “bar”)。 //?号后有一个+号

()里出现空格等，上列被过滤的字符时，返回what are you want to do?

这样会限制system的使用

需要更换命令进行绕过，使用var_dump()和scandir()函数，找到了类似于flag的f1agg

? num=var_dump(scandir(chr(47)))相当于? num=system(ls /)。chr(47)=" / "

ps:

scandir()函数返回指定目录中的文件和目录的数组。
scandir(/)相当于ls /
var_dump()相当于echo

ps:

chr(ascii)码对照表大全-CSDN博客

http://node4.buuoj.cn:26361/calc.php?%20num=var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))