题目：

过程：

有waf，基本思路就想到过waf，危险函数传参

翻来覆去找到一个calc.php的页面

calc.php

接收的参数为num，看到过滤规则首个就是过滤空格

构造如下：calc.php?空格num=phpinfo();  这样，会先触发规则，删除空格，进而将一个名称为num的参数传入

成功

进一步读取目录，否则仍是找不到flag

由于过滤了“/”符号，我们用ASCII码替换

补充：scandir() 函数返回指定目录中的文件和目录的数组。

          var_dump()函数显示关于一个或多个表达式的结构信息，包括表达式的类型与值。数组将递归展开值，            通过缩进显示其结构。

看到f1agg字符串，直接读取就好了。

payload如下：

总结：

题目比较简单，主要考察对于php字符串的解析特性

参考csdn沐目_Chen师傅的话就是：

我们知道PHP将查询字符串（在URL或正文中）转换为内部$_GET或的关联数组$_POST。例如：/?foo=bar变成Array([foo] => “bar”)。值得注意的是，查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如，/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WAF中有一条规则是当news_id参数的值是一个非数字的值则拦截，那么我们就可以用以下语句绕过：

/news.php?%20news[id%00=42"+AND+1=0–

上述PHP语句的参数%20news[id%00的值将存储到$_GET[“news_id”]中。