Bugku-求getshell

上传题

提示只能上传图片，那我们应该是上传一句话木马，先用bp抓包

这里一共有三个过滤：
1.请求头部的 Content-Type
2.文件后缀
3.请求数据的Content-Type


这里是黑名单过滤来判断文件后缀，依次尝试php4，phtml，phtm，phps，php5（包括一些字母改变大小写）
最终发现，php5可以绕过
接下来，请求数据的Content-Type字段改为 image/jpeg
但是一开始没注意到，上面还有一个请求头Content-Type字段，大小写绕过： muLtipart/form-data;

https://www.jianshu.com/p/81f797d5a8e3

go，得到flag