题目:![](https://img-blog.csdnimg.cn/051ad7ea21d741599d40a4a554a4e1d8.png)
从题目页面可得到对我们有用的信息,flag存放在了flag.php中,并且还知道了当前页面的绝对路径。
分析完当前页面能够获取到的所有信息后,查看页面源代码试试,发现得到了主页的php源码:
![](https://img-blog.csdnimg.cn/b7978f17d9674356846d80e7f9c0edf8.png)
分析以上源码,可知其中$lan为我们可控的,并且是通过cookie值来控制他,那么就使用burp抓取一次页面数据包来更改cookie。![](https://img-blog.csdnimg.cn/638f4f08075640ac8a5e3e595a703dfd.png)
接下来构造payload,使用filter伪协议来读取flag.php的源码:
payload: language=php://filter/convert.base64-encode/resource=/var/www/html/flag
注意,由于在源码分析中,对lan最后拼接了“.php”,因此在payload中flag后不用加。
执行后即可获得flag的base64编码。
![](https://img-blog.csdnimg.cn/537398f49dc945dabce5a6ca801f89c0.png)
![](https://img-blog.csdnimg.cn/b228bac9cdf344adb1c592356462f23e.png)