尝试127.0.0.1

尝试127.0.0.1/flag.php提示有f14g文件

使用file://伪协议
file:///fl4g

直接访问

stristr()函数：不区分大小写

用于获取指定字符串A在另一个字符串B中首次出现的位置，并返回从字符串B到末尾的所有字符串。
<?php
$str=“Helloworld!“;echostristr($str,"WORLD");
?>
返回 world！
//查找 "world" 在 "Hello world!" 中的第一次出现，并返回字符串的剩余部分

题目意思是查找到file就返回 你败了，因而不能使用file协议

用 php://filter伪协议 读取源代码并进行base64编码输出。
?file=php://filter/read=convert.base64-encode/resource=/flag

进行解码获得flag

总结

ssrf

伪协议：

file://
php://filter