目录遍历，跟不安全文件上传下载有差不多；

访问 jarheads.php 、truman.php 都是通过 get 请求，往title 参数传参；

在后台，可以看到 jarheads.php 、truman.php所在目录：   /var/www/html/vul/dir/soup

图片kb.png  所在目录：/var/www/html/vul/unsafedownload/download

构造   ../../unsafedownload/download/kb.png  ;  访问了kb.png 图片

也可以访问php,