BUUCTF ACTF2020 upload

先看题，是文件上传

介绍两种方法
1.禁用js
2.bp拦截修改
先讲第一种：

禁用js

起初都简单尝试上传一句话马，会显示被拦截，就会想到前端验证，F12查看源码，禁用js再次上传

删去验证，再次上传会发现被过滤很多文件，最终尝试phtml成功上传，之后就是上蚁剑了就不多说

bp拦截修改

这种方法也是最常用的，按照题目的意思上传一个jpg，bp去拦截再修改为php文件发送，

发现还存在后端验证，改用phtml成功上传，后面就是蚁剑了，网站根目录下找到flag