Pass-03

这些靶场进去的页面都一样，所以先看一下提示

再分析一下源码

可以看到很多有中文备注的信息，这些就是防护规则

$deny_ext的原理就是所提到的"黑名单"，黑名单过滤也是一种不安全的方式，黑名单中定义了一系列的不安全的扩展名，服务器在接收到文件后，与黑名单做对比，从而决定是否要过滤上传的文件。

意思就是.asp .aspx .php .jsp的文件都不能上传，如果检测到就进行拦截。

不过phtml,php3,php4,php5,pht没有禁止，在apache配置文件中当php解析。

修改放包后，去PHPstudy的upload目录查看所上传后缀名为.php3的文本，查看里面内容符合说明上传成功。