访问url，可以看到一些提示，绝对路径/var/www/html/index.php，也提示了flag在flag.php中。

快捷键Ctrl+u,查看网页源代码

思路：

源代码中看到` @include($lan.".php"); `，可知此处存在文件包含。`$lan`的值是从cookie中传过来的。所以对`language`赋值，构造payload，重放包就可读出flag.php经过base64加密后字符串，base64解密后得到flag。

burp抓包。

Cookie: language=php://filter/read=convert.base64-encode/resource=/var/www/html/flag

解密，得到flag{3a25ed18016c11eb866750e085c9ded8}