![](https://i-blog.csdnimg.cn/blog_migrate/732611f7f683cbe06267b2b23e719a8c.png)
看到这个你先上个一句话木马以图片的方式去上传
![](https://i-blog.csdnimg.cn/blog_migrate/5566337b7d868a1b865e621550aa412b.png)
首先你得知道我们的目的是什么 取值flag 。这边我们看到成功上传 看的不是很仔细 bure 找个包看看
![](https://i-blog.csdnimg.cn/blog_migrate/c51656b1b3b879376434be40069dc8e3.png)
这里我们可以看到这个函数 eval 这个函数是执行括号的语句的 php语句的
![](https://i-blog.csdnimg.cn/blog_migrate/4960935cbec5c3f856195b7e46ccb499.png)
把1.jpg换成1.php 因为我们上传php去注入 这边是去识别 得到
![](https://i-blog.csdnimg.cn/blog_migrate/c4309d400d7fb5dd4254de1102dbba4d.png)
这个是我们修改成功 得到的 我们可以去访问这upload/1.php
![](https://i-blog.csdnimg.cn/blog_migrate/d27295bc7b84cd84f6610076788c961f.png)
这是没有显示的 这里分web的前端和后端 而我们这个一句后端注入 不会显示 我们用蚁剑去连一下
![](https://i-blog.csdnimg.cn/blog_migrate/882fd453b777b2420b502411c229e970.png)
搜到flag文件 这边我环境关了 就直接说 蚁剑不会用的自行百度 和下载 上传我们发现flag值不对 这是虚拟flag值 然后 我们在
![](https://i-blog.csdnimg.cn/blog_migrate/62157ce6dacc069cf2c119bde8aafd75.png)
我们 这边使用 这个PHPinfo();函数 注入 等到flag值