1. 题目同样是一个上传框,提示上传图片。
2. 观察抓包和页面审查元素,发现判断文件结尾由网页JavaScript完成,尝试关闭浏览器JavaScript。
再上传一次木马,虽然过了前端的一次图片格式判断,但是还有验证机制。
3. 尝试昨天刚用过的phtml文件,配合GIF欺骗。
上传成功。
根据经验去根目录找线索,发现flag。
