題目
http://123.206.87.240:8006/test1/

檢視原始碼
程式碼大概講的是
需要get傳遞三個值：txt,file,password
並且
$user的檔案內容為welcome to the bugkuctf
$file為hint.php
password暫時還沒用到
file_get_contents($user,'r')函式作用是將$user的檔案內容寫到字串裡
這裡涉及到php偽協議（php://input）
這個是有關於php偽協議的解釋https://blog.csdn.net/qq_27682041/article/details/73326435
接下來使用我們的bp工具進行抓包
構造txt=php://input，並且post傳值welcome to the bugkuctf

我們可以看到頁面變化

接下來
include($file)還涉及到php://filter協議
這是關於php://filter協議的解釋
https://blog.csdn.net/wy_97/article/details/77432002
構造一個file=php://filter/read=convert.base64-encode/resource=hint.php
得到hint.php網頁的base64編碼後的原始碼

解密後得到

繼續同樣的方法file=php://filter/read=convert.base64-encode/resource=index.php獲取index.php網頁base64編碼後的原始碼

解密後得到

hint.php中提示flag.php,且index.php有對關鍵詞flag進行了preg_match
hint.php中定義了一個類Flag，中間有個 __tostring 方法，將這個類作為字串執行時會自動執行的一個函式
__tostring 方法執行時，將變數$file作為檔名輸出檔案內容，結合提示flag.php，猜測flag.php檔案在此開啟
在index.php原始碼中看到了$password的作用

將hint.php中的Flag當做字串執行時，會自動執行 __tostring方法，只有echo，只能輸出一個或多個字串，所以構造password為Flag型別，其中的string變數flie=flag.php

由於存在password=unserialize(password);
執行該指令碼得到

<?php class Flag{//flag.php public $file; } $a = new Flag(); $a->file = "flag.php"; $a = serialize($a); print_r($a); ?>

需要構造序列化物件payload為
O:4:“Flag”:1:{s:4:“file”;s:8:“flag.php”;}