访问url,可以看到一些提示,绝对路径/var/www/html/index.php,也提示了flag在flag.php中。
快捷键Ctrl+u,查看网页源代码
思路:
源代码中看到` @include($lan.".php"); `,可知此处存在文件包含。`$lan`的值是从cookie中传过来的。所以对`language`赋值,构造payload,重放包就可读出flag.php经过base64加密后字符串,base64解密后得到flag。
burp抓包。
Cookie: language=php://filter/read=convert.base64-encode/resource=/var/www/html/flag
解密,得到flag{3a25ed18016c11eb866750e085c9ded8}
