打开靶机地址，得到下图，

根据上图的php代码可以知道，该网址过滤了php的大小写，直接进行当前网页index.php的base64过滤也不可用，php://伪协议不可用，一句话木马不可用，但是我们可以用data://伪协议进行尝试,因为过滤大小写，所以咱们用base64的方法传入一句话木马。

 

 根据网页返回可知，allow_url_include并未开启，所以data伪协议不可使用。那就只能使用特殊的方法了,先尝试访问自带的日志文件，看看是否被更改掉位置，写入?file=/var/log/nginx/access.log

发现可以访问，那就是这儿了，咱们可以在UA头上写入一句话木马，因为日志文件会将请求头自动写入日志文件access.log中去，并不会对UA头进行二次检验，写入日志文件中后，可以利用蚁剑连接获得整个的访问权限。

 

 伪造请求后，再次访问日志文件

 

 

 

 我也看不清包含没包含，之前看过别人的说是可以echo "666666"检验一下，我这里不检验了，直接上中国蚁剑进行对一句话木马的连接

 

 

 

显示连接成功，证明木马已经进入了后台的日志文件，并获取到了整个后台的文件管理权限，并打开文件管理

 

 

 

直接从/目录下找到flag.txt文件

 

 

 

 打开即得到flag文件

 

 

得到flag：ctfshow{b5f6bcof-6129-4c4f-a005-fea0e793fbb0}