第一步-分析题目:

打开题目场景，如下图:

 

 这上面显示说，flag在这个/var/www/html/flag.php文件中。由此可知，这道题是文件包含题。

明确了目标，咱们在场景那个页面按下F12来看下源代码。

在做题之前咱们先了解了解COOKIE，可以把COOKIE理解为我们打开一个网站，我们属于客户端，打开一个网站就相当于我们给网站服务器发送了一个请求，然后服务器记录用户状态，颁发了一个COOKIE，然后我们更改这个COOKIE的值，再次请求。

下面直接看源代码中最重要的部分。

$lan = $_COOKIE['language'];

 这行代码说明COOKIE是可控的，$lan 由COOKIE传入；language后面的值才是COOKIE值，是我们要传入$lan 里面的内容;所以说我们把这个值给language才可以发送请求。

if(!$lan)
{
	@setcookie("language","english");
	@include("english.php");
}

！是反之的意思可以理解为不的意思，如果说咱们上传的COOKIE 不存在$lan，则这就说明我们的$lan包含在english.php文件中。

else
{
	@include($lan.".php");
}

 else反之如果说我们上传的COOKIE存在$lan，则$lan会自动拼接.php,并进行包含。

分析到这里就可以了。

第二步-工具：

用到的有Kali，burpsuite,火狐浏览器。

第三步-起飞：

先打开火狐进入到场景:

随后打开burpsuite并进入Proxy:

 

 去火狐刷新一下场景:

 

第二行send to repeater送去重放：

进入repeater重放功能:

接下来我们该构造 payload数据包了，在构造之前我们先了解了解php filter伪协议的规则，后面会用到。

php filter伪协议的规则：

php://filter/过滤器|过滤器/resource=待过滤的数据流

知道了规则后， 那我们就来构造payload数据包:

php://filter/convert.base64-encode/resource=/var/www/html/flag

 read读取，convert转换，base64,encode编码，

 resource=flag转换到flag中，就是说把flag.php文件转换为base64编码格式。

/var/www/html/flag意思是flag.php文件在var文件夹里面的www文件夹里面的html文件夹里面，可以看这篇博客最上面的第一张图片。

 因为$lan会自动拼接.php,并进行包含，所以我们不需要加.php后缀。

上传payload数据包: 

 

 点Send发送请求，拿到base64编码：

进行base64编码解码，拿到flag:

 

 补充:

 base64编码解码工具网上可以搜到的，是免费的。