warmup xctf 攻防世界 web高手进阶区

进入题目，可以看到

进入题目场景，看到一个坏笑脸

根据常规操作来说，按F12查看网页源码，发现有注释文件

在URL中查看得到

从源码可以看出，还有一个php文件，查看发现

可以知道flag在ffffllllaaaagggg里，重新审核代码，发现mb_strpos()函数，网上了解知道

$whitelist = [“source”=>“source.php”,“hint”=>“hint.php”];
在?file=hint.php后面加上个问号，使它能够截取到我们传入的URL，由于不确定ffffllllaaaagggg在是第几子级，只能一直加../../直到出现flag。