检查源码，发现有一个url:calc.php。然后尝试去访问一下，还真的可以看到：

可以看到，get型获得num变量的值，然后设置了一个黑名单，进行过滤，这里就需要之前提到的，[极客大挑战 2019]Knife1-CSDN博客里面用到的 var_dump() + scandir() 来进行手动的查找：

这里还需要注意的就是，我们不能单纯的传num,而是空格加num,这样waf就找不到num这个变量了，因为现在的变量叫“ num”，而不是“num”。但php在解析的时候，会先把空格给去掉，这样我们的代码还能正常运行，还可以进行上传非法字符。

再者就是这里的黑名单我们可以使用chr() 函数用于返回 ASCII 值对应的字符。当我们调用 chr("47") 时，就是在请求 ASCII 表中第 47 个字符，其对应的字符就是正斜杠 /。这样我们就绕过了黑名单：

构造的payload如下：/calc.php?%20num=1;var_dump(scandir(chr(47)))

我们可以看到是有f1agg存在的，因此我们继续使用，file_get_contents()函数来读取这里的内容：

构造的payload如下：

/calc.php? num=file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103));