首先檢視原始碼，得到提示說使用者資訊在user.php中，但是我們訪問user.php是得不到任何資訊的，得不到任何線索，看writeup得到提示，關鍵詞檔案讀取漏洞、備份檔案

於是我就試著訪問了user.php.bak，得到了使用者名稱資訊，然後根據login.php註釋部分的提示，使用者密碼為使用者名稱+出生年份

明顯需要使用爆破，得到的使用者名稱檔案作為payload，具體是這樣的： BurpSuite Intrude使用

把我們得到的user.php.bak檔案作為payload，即可得到使用者名稱和密碼 進入頁面後檢視原始碼：

直接使用firefox的開發者工具更改頁面

寫個一句話木馬，上傳抓包：

傳不上去，有過濾，更改各種字尾：

php2, php3, php4, php5, phps, pht, phtm, phtml

檔名和檔案內容的雙重過濾，經過各種嘗試之後，得到如下頁面：

訪問view.php

直接view.php?file=flag.php，結果為filter "flag"

因為前面做題一直都是flag.php存放flag，所以試了半天flaflagg.php，最後把.php去掉就得到flag了，只是一個簡單的字元過濾繞過，假如不是把flag替換成空而是替換成_，就沒那麼容易了