攻防世界：WEB——upload1（两种方法）

显然这是一个文件上传漏洞：
查看网页源代码发现，这里有个JavaScript脚本对上传文件的格式做了限制：

尝试使用带有一句话木马的jpg图片

隐写术：
命令copy /b niuniu.jpg + nmd.php phpniuniu.jpg
niuniu.jpg是普通jpg图片，nmd.php是带有一句话木马的PHP文件。

试试能不能使用菜刀渗透：

将图片上传

有用！！

尝试禁用JavaScript脚本上传PHP文件

有用

如果PHP结尾的文件不行，就尝试asp、aspx文件