PASS

前言：前端通过js代码对我们上传文件的合法性进行一定的验证，本题主要是通过绕过js来完成不一致文件格式的上传。

1.制作一个一句话木马到记事本上

该语句的解释参考文章《PHP语言常见可注入函数》。

2.修改后缀名text为jdg（因为第一关提交文件的格式是图片即jdg）来绕过前端验证

3选择文件111.jpg然后对上传文件进行抓包，

4.返回后，右击文件下面的图片，选择"在新标签页中打开图片"，之后会发现空白，且网址后缀为php所以我们的木马已经成功上传到网站的服务器上

5.打开一个后门连接工具（此处参考中国蚁剑）

打开后右键添加数据将刚开始打开的空白网址的网址复制上去，填写密码，双击打开后进入服务器目录（可以进行操控访问修改下载等功能）

这就是一种绕过方法，

另一种绕过方法就是前端绕过（因为本身就算是一个前端网页的命令，可以不抓包进行绕过）

1.先将上一步上传过的文件全部清理(右上角)，

先右键打开“检查”，寻找文件“上传”的源码表单

解决方法·，打开右上角三个点，点开设置找到禁用js代码（如下），使js无法过滤我们的不合法法文件

可以将之前的111.jpg改回111.php直接上传文件来测试。

打开网址之后会发现还是上传的php文件就成功了。