pass-1
根据源代码可以判断其为前端语言js,只允许上传jpg.png.gif格式
可以通过fn+f12来禁用java script来实现上传一句话木马
需要明确你要上传到那个文件,路径是什么?你要在什么地方做些什么,非常重要
也可以使用蚁剑等进行操作
## pass-2
首先我们根据这个源代码能够分析出此题是将jpg、png、gif等格式进行禁用,我们可以进行抓包,改包的操作
content-type告诉客户端将要返回的类型,将返回值改为image/png
## Pass-03
源代码中的array函数进行判断,是否存在.asp,.php,.jsp等值
此类型可以改为php1, phar、 phps、Asp、aspx、cer、cdx、
asa、asax、jsp、jspa、jspx等进行执行。
但是需要配置即Apache的httpd.conf有配置代码 AddType
application/x-httpd-php .pht .phtml .phps .php5 .pht .php1
如下图所示
