有很多地方都存在文件上传;有的地方是要校验,加一个GIF89a就可以绕过。右键图片在网页新建打开图片标签;在放行一次修改数量为0.00000001。在用户名和密码位添加payload。payload设置;在BP中进行抓包,改为1.php。用户在已登录的状态点击我们的链接。去蚁剑连接生成的h.php就行。制作修改用户信息链接。来到个人信息修改个人头像。sqlmap跑出来的。通过改变数量改变价格。后面