来源：

buuctf

题目：

https://github.com/BjdsecCA/BJDCTF2020

WP:

指定了传入方法为get，需要传入text且内容为I have a dream且为文件格式，同时再传入file即可include，但是过滤了/flag/。

get方法可以使用data协议传文件，因此利用data协议绕过。随后就可以用php协议取在include处读取提示的next.php文件：

正则表达式/ei匹配存在命令执行，可直接套用plyload：?\S*=${目标函数()}，按题目替换下即可执行任意命令：