打开是个登陆界面:

查看一下源代码:

用户信息都在user.php里,
密码的结构也告诉你了,猜想是爆破
但是现在没有字典,
我们先访问一下user.php,发现啥都没有,
一开始以为是文件包含,但是没有变量可以用
可能是备份文件获取,试试user.php.bak
果然:

将文件下载下来之后发现是用户名的信息,
打开burpsuite开始爆破:
从1990年开始(大佬们wp写的,我也不知道为什么)

字典直接用刚刚的user.php

开始爆破:

得到了一个用户lixiuyun 密码 lixiuyun1990

登陆进去之后也是什么都没有,查看源代码:

本地构建html:

php别名:php2, php3, php4, php5, phps, pht, phtm, phtml …
都可以试试:

可以看到有个view.php了,打开看看
这次估计真是文件包含了:

这里还有个过滤,将flag过滤了
双写flag即可拿到flag: