[极客大挑战 2019]Upload

[极客大挑战 2019]Upload

从页面上来看是上传一个图片文件，但是不知道是怎样检查的，要先试一试
一般可以检查的地方有：
后缀名、content-type、文件头的部分内容
先上传一个php,不做任何修改

接下来试一下phtml+修改content-type
phtml一般是指嵌入了php代码的html文件，但是同样也会作为php解析

也许文件头也检查了，那就加上GIF89a

测试出来大概就是，后缀名可以是phtml，会检查content-type,文件头的部分，以及<?
所以最后的木马：

在bp里做修改

上传成功

猜测上传后的文件在upload/2-3.phtml,找到以后打开

没有显示出php的部分，说明成功执行了，用蚁剑连上，找到flag