Начнем с того что в старых версиях ПХП возможно использовать NULL-BYTE.
Тоесть чтобы экранировать .txt можно использовать %00
Во вторых, чтоже можно сделать чтением файлов?
Для начала попробуй прочитать /etc/passwd. В 5% случаев их можно читать =)

Далее. Прочитай и сохрани /etc/passwd. Он даст список юзеров.

Далее. Попробуй найти на сайте HTTP-passwd-like файлы типа .htpassword .htaccess и т д. И ещё попробуй найти зоны администрирования (наверняка же есть чтото) и прочитать скрипт, содержащий логин и пароль.