打开网站

注释里的内容

获得user.PHP

里面都是用户名
用bp爆破吧

爆破成功

username=lixiuyun&password=lixiuyun1990

登录网站

注释里发现内容

上传图片马

上传各种绕过的方式都显示文件名不合法，它的限制好像是文件名和内容都不能含有PHP字母，否则就会显示文件内容不合法。

双写flag绕过

payload

http://xxxx/view.PHP?file=fflaglag

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。