[极客大挑战 2019]Upload1

打开靶机看到要求上传图片，先创建一句话木马上传




发现文件类型不符报错



打开burp抓包修改文件类型




发现还会检测后缀名



继续修改后缀名，例如php2 php3 php4 phps phtml，最后尝试后发现可以使用phtml



发现还会检测文件中内容，不能含有"<?"



更改一句话木马



发现还是不行，那就再在文件前加上GIF89a，伪造图片文件




上传成功



进入刚刚上传文件的位置，连接蚁剑



找到flag文件




总结:

常用等价拓展名