先尝试直接上传一个普通的一句话木马

显示此文件不允许上传，这道题并没有提示不允许上传什么后缀的文件，经过尝试，基本上所有后缀能够被解析为php语句执行的文件都不能成功上传。试试正常的图片能不能上传：

我们再来试试图片马能不能正常上传，所谓图片马，就是把木马病毒写到图片内容中，也就是带有木马内容的图片或是以 .png 或 .jpg 结尾的文件，但是文件内容是一句话木马，或其他的木马病毒。

首先，创建一个 yjh.txt ，将一句话木马编辑到文件中然后保存。

可以上传

htaccess文件是Apache服务器中的一个配置文件，它负责相关目录下的网页配置。通过htaccess文件，可以帮我们实现：网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能

通俗点来说，在文件上传类型的题目中，我们就是要利用这个文件，修改服务器的配置，让服务器将文件内容符合php语法的.png结尾的文件解析为php语言去执行。

原文链接：https://blog.csdn.net/2302_80946742/article/details/137714313

首先，创建一个.htaccess文件（文件名必须一致），文件内容为：

SetHandler application/x-httpd-php

这句代码的意思就是告诉服务器，将目录下所有符合php语法的文件内容当做php脚本执行，不管它是什么后缀。

然后将 .htaccess 文件上传到靶机中，修改服务器配置。

右键复制图片链接访问试试看，可以看到403报错，403是无法查看文件的状态码，是存在这个文件，但是无权查看。并不是没有这个文件，如果直接的话没有就是404报错。

然后解题就行