來源：

buuctf

題目：

https://github.com/BjdsecCA/BJDCTF2020

WP:

指定了傳入方法為get，需要傳入text且內(nèi)容為I have a dream且為文件格式，同時再傳入file即可include，但是過濾了/flag/。

get方法可以使用data協(xié)議傳文件，因此利用data協(xié)議繞過。隨后就可以用php協(xié)議取在include處讀取提示的next.php文件：

正則表達式/ei匹配存在命令執(zhí)行，可直接套用plyload：?\S*=${目標(biāo)函數(shù)()}，按題目替換下即可執(zhí)行任意命令：