文件上传漏洞upload-libs pass4 首先查看源码 无法使用空格和大小写绕过 且黑名单过滤了.htaccess 查看提示 利用readme.php文件 因为没有过滤ini文件 创建.text.ini和一句话木马文件 内容为: auto_prepend_file=test.gif 改后缀名为.gif 参考文章 https://blog.csdn.net/weixin_44426869/article/details/104236854 先上传.user.ini 再上传一句话木马1.gif BurpSuite抓包 查看上传的路径,readme.php在同级目录 使用c刀连接测试 成功