Hello there, ('ω')ノ
OWASP 2017 ⇨ A5 ⇨ Insecure Direct Object Reference ⇨ Local File Inclusionを選択。
まずは、動作確認を。
Burp Suiteでパラメータを確認して。
選択したファイル名を見つけることができたので。
ファイル名を下記に書き換えて。
../../../../etc/passwd
書き換えたファイルの中身が表示された。
phpfileへ渡すパラメータのチェックとアクセス制御がないようで。
Best regards, (^^ゞ