Pass-10

查看提示（双写后缀特殊符号绕过）

查看源码

这里是白名单检测，以上一关的点空格点的方法可以直接进行绕过

这题除了没有重命名，把所有的限制都加上了，所以这里也没法办法用解析漏洞。但是这里其实有一个很严重的漏洞，那就是没有做循环处理。如果后缀名为info.php. .，这样构造就可以成功绕过了

此时用burp抓包，将包修改为php. .，注意第二个点之前有空格，因为这一题的php被禁了，我们上传的是“php.空格”，然后发现在返回包中自动去掉了末尾的点，上传的就是php.空格文件

然后我们输入文件地址，发现文件上传成功