Pass1 首次测试: 先正常上传phpinfo()测试页是否能上传 根据返回可以看到允许的文件并且根据burp发现发起的请求并没有被抓取可以确定此项为前端验证 思路: 浏览器禁用前端js功能(本机火狐没有谷歌方便选择第二种) 更改原始文件后缀绕过 Pass2 首次测试: