打开链接后查看源代码如图
将画圈处输入后
点击后
发现不在这里
进行抓包，将抓到的包send to repeater,如图
发现了secr3t.php,输入后
审代码后发现
strstr() — 查找字符串的首次出现
stristr() — strstr() 函数的忽略大小写版本
要GET一个file参数过去，但是不能含有…/、tp、input、data，包括这些的大小写。
php伪协议点这里
输入?file=php://filter/read=convert.base64-encode/resource=flag.php
得到base 64 码
对其进行翻译（这里可以用hackbar或在网上找在线翻译器）得到flag