pikachu文件上传

皮卡丘靶场因为为你指明了突破口有大大降低了难度

第一关前端验证

法一

在地址栏搜索about:config，关闭javascript变ture为flase，之后刷新直接上传即可

法二（剔除代码审计）

打开F12，直接搜索check找到图片中删除的地方，删除后最好不要关闭F12更不要刷新直接进行上传即可。

法三

上传合规的文件，进行抓包，在burp中将后缀改回来才可以解析,改回来就放包就可以了

法四也是最麻烦的替换js文件

具体步骤就不提供了感兴趣的看看这个
http://t.csdnimg.cn/9Noxw

第二关

随便传一个错误的文件，看看反馈，这里是白名单，我们只需要顺着它，让我们传什么我们就传什么，但是我写的是php文件呀别的格式肯定无法成功，因此我们还要想办法把后缀改回来，打开burp抓包
后缀改回php放包即可。

第三关

提供俩种合成图片码的方法

或者用编辑器打开手动加入
显示上传成功，但是解析出了问题按理应该直接可以连接，但是不行不知道为啥？求指教