来源：

buuctf

题目：

WP：

直接给了源码位置，果断下载下来，30多M。

点开发现有大量代码，均有后门，以前做过类似的题，需要写代码检测真实后门。

简单写了个单线程的，因为文件较多实际换成多线程然后调整下响应时间估计会比较好，懒得改可以慢慢挂

最终发现可用木马为xk0SzyKwfzw.php的get方法的Efa5BVG，ls /找到目录后cat即可得到flag：

flag{24f45802-7f49-421f-a16c-721b62741d66}