打开网页,可以看到后端源代码:

    1.png

    阅读代码可知,我们需要用 GET 请求传递一个参数file,它的值前 6 为如果和php://一样,则会调用include($_GET["file"]);函数。题目还给出了 phpinfo 文件,我们看一看:

    2.png

    注意,服务器开启了 URL 包含的功能,根据知识点,我们可以用php://input伪协议来向服务器传递数据:

    3.png

    我们用 Burpsuite 的 Repeater 试一试:

    4.png

    我们在/目录下找到 Flag 文件,用cat命令将其打印出来:

    5.png