如果不确定自己的木马文件是否能上传成功就可以先发到repeater重放器里面如果resopnse中最后一行的结果类似与{“code”:0,“msg”:“upload/MM.png”}说明上传成功。然后在打开一个原来题目的网址，写入一个1.txt，并给它加上一个user-agent内容为：<?写好后点击execute运行，使其写入该网站的日志文件中。所以我们在写木马文件的时候只需要注意不要加上空格就

但是最常用的 php://filter/read=convert.base64-encode/resource=flag.php 中包含的 string、base64 等关键字全部被 filter() 函数拉黑了。核心目标是利用 highlight_file() 函数来读取服务器上的敏感文件（比如 flag.php 或 /flag），但代码中做了一些非常严格的限制。但是如果后面跟的是一个普通的未压

同理，如果你在上一阶段通过漏洞发现了当前目录下还有一个叫 flag.php 的文件，你直接在浏览器输入 http://example.com/flag.php，Web 服务器就会绕过原本的 index.php，直接去读取并执行 flag.php。如果直接访问失败（空白或403）：说明必须通过题目自带的漏洞去读取文件内容。当你访问 http://example.com/index.php 时，服务器

这是一道反序列化漏洞，我们通过代码审计可以知道，这里存在漏洞注入点，它允许用户通过控制浏览器 Cookie 中的 user 字段，向服务器传入任意序列化后的对象。因为这个类中存在一个eval（）函数，会把传入的字符串当成代码执行，所以我们要想办法让getinfo（）函数执行，就是要使__destruct()函数执行。但由于反序列化允许我们控制对象的属性，我们可以在序列化数据中，强行将 ctfSho

这是一道非常经典的 文件包含漏洞（LFI） 结合 日志注入（Log Injection） 的 Web 题目。我们可以看到代码对 php 和 data 伪协议进行了过滤，这封死了直接通过 php://filter 或 data:// 获取 Web Shell 的路径。原因：URL 中的特殊字符（如 < >）会被浏览器或服务器进行 URL 编码，编码后的内容包含在日志里不会被 PHP 执行。在post

被拦截的命令包括：cat, flag, more, wget, less, head, sort, tail, sed, cut, tac, awk, strings, od, curl, nl, scp, rm。虽然看起来过滤非常严密，但只要理清了它的过滤规则，就能找到生存空间。(分号), ` (反引号), %, * (通配符), <, > (重定向), & (\x26), \t (\x09)。

被拦截的命令包括：cat, flag, more, wget, less, head, sort, tail, sed, cut, tac, awk, strings, od, curl, nl, scp, rm。虽然看起来过滤非常严密，但只要理清了它的过滤规则，就能找到生存空间。(分号), ` (反引号), %, * (通配符), <, > (重定向), & (\x26), \t (\x09)。

在 CTF 题目中，如果你发现了一个 PHP 探针（比如 tz.php 或 phpinfo.php），Flag 通常不会像在 index.html 那样直接写在注释里。简单来说，它是一个单文件的 PHP 脚本（通常命名为 tz.php、phpinfo.php 或 prober.php），通过调用大量的 PHP 系统函数，将服务器的实时信息以网页的形式展示出来。> 的文件时，它会生成一个极其详细的网