[极客大挑战 2019]Upload 1

http://0242d85f-3971-43f6-a721-0b736d192915.node4.buuoj.cn:81/

解题过程

1.先上传个shell.php
2.提示Not image不是图片，可能是MIME绕过，尝试抓包修改Content-Type
3.提示Not php，猜测可能是检测后缀名不能是php，将shell.php改名为shell.phtml进行上传
4.根据上传提示，不能有<?应该是检查了我们的文件内容，可以使用script脚本的木马，只需要将language修改为php即可
5.这次直接提示我们不是一个图片，检查了我们的文件内容，在文件头中加入GIF89，尝试绕过图片检测
6.可以看到文件上传成功，那么文件上传到了哪里呢？一般默认就是upload目录，有些可以在源代码中看到上传地址，访问上传的木马

7.查看源代码可以看到，木马已经被当做php执行，直接使用蚁剑连接木马