东哥说，不是期末周的时候就要抓紧时间提升自己的技术。

[ACTF2020 新生赛]Upload 1

随便传个图是可以进去的。

传一句话木马 发现被检测到了（前段检测）

检查网页时 发现了checkfile函数 删掉它

试着上传 phtml： phtml一般是指嵌入了php代码的html文件，但是同样也会作为php解析

成功传进来了
用蚁剑连接它：

找到了flag

思考： 之所以传phtml 是因为它可以作为php去执行一句话木马

[极客大挑战 2019]Upload

直接传一句话木马 被过滤掉了
试着抓包改mime

被检测出是php了 试着上传phtml（因为要检测图片 所以同时也改mime 打一套组合拳）

成功穿进去了
这时候连接它试试

盲猜路径是/upload

成功连进来了 并拿到了flag

[MRCTF2020]你传你🐎呢

这道题属实阴间 上来就吓了我一跳

随便传点试试

有所防备啊
传了一张图片 也是一样的结果
轩给了我思路： 传.htaccess

/*

分布式配置文件。

可作用于当前目录及其子目录的配置文件。

站点配置标有`AllowOverride All`，
且`rewrite_mod`开启时，`.htaccess`文件就会生效。

*/
<FilesMatch ".xxx">
SetHandler application/x-httpd-php
</FilesMatch>
//或者
AddType application/x-httpd-php xxx

它的作用是把传进去的jpg png gif JPG这样的图片文件按照php去解析
注意这里.htaccess文件前是没有名字的

传上去了 然后这时候给一句话木马改成jpg格式传下试试

也传上去了
这时候可以试着访问了
注意一下

所以我们访问的应该是
主域名/upload/…

进来就找到flag 但是这里我疑惑的是 为什么真正的图片传不上去？
于是顺便拜访了一下upload.php
有所防备啊！