upload-labs-master通关攻略（1-19关）

一，pass-1

1，在桌面新建一个1.php文档

2，打开pass-1并上传1.php发现失败

3，点击F12，将检查文件类型的内容删去（如图）然后再次上传就成功了

4，右键图片在新标签页打开，使用菜刀检查是否能连接

二，pass-2

1，打开pass-2并上传文件，然后使用BP抓包

2，将数据类型修改为 image/jpeg后放行就成功了，然后使用菜刀测试

三，pass-3

打开pass-3，并修改1.php为1.php3，然后上传就成功了，最后使用菜刀测试

四，pass-4

1，桌面创建一个.htaccess文件

2，点开pass-4，先上传一个1.jpg文件，再上传我们刚创建的.htaccess文件，然后访问，最后使用菜刀测试

五，pass-5

将1.php修改为1.phP上传，使用菜刀测试

六，pass-6

打开后上传1.php，使用BP抓包，在1.php后加一个空格，然后放行，成功后使用菜刀测试

七，pass-7

和第六关一样，只需要将空格换为.即可

八，pass-8

打开后上传1.php并使用BP抓包，在1.php后加上::$DATA放行，成功后使用菜刀测试

九，pass-9

打开后上传1.php，使用BP抓包，在1.php后加上. .放行，成功后使用菜刀测试

十，pass-10

将1.php修改为1.pphphp上传，成功后使用菜刀测试

十一，pass-11

上传1.png文件，使用BP抓包，修改为如图所示，然后放行，成功后使用菜刀测试

十二，pass-12

与第十一关差不多，只是需要将十二关中的%00使用URL解码

十三，pass-13

1，新建一个1.jpg文件，如图

2，上传1.jpg后在新标签页打开图片，发现后缀变为.gif，访问 include.php，发现提交方式后继续访问，最后使用菜刀测试

十四，pass-14

与十三关相同

十五，pass-15

与十三关相同

十六，pass-16

1，在网上找一张二次渲染专用图保存为.gif文件然后上传，再用记事本打开.gif文件找到一句话木马，后面测试要用

2，右键图片在新标签页打开，然后访问?file=upload/4499.gif，最后使用菜刀测试

十七，pass-17

上传1.php，使用BP抓包，发送到爆破模块，设置为如图所示，开始攻击，最后使用菜刀测试

十八，pass-18

和十七关步骤相同，只是第十八关需要上传我们在第十六关用过的那个二次渲染专用图片的.gif文件

十九，pass-19

1，上传1.php，保存名为2.php，然后使用BP抓包，在2.php后加上/.

2，加上/.后放行，右键图片在新标签页打开，最后使用菜刀测试