i春秋web-123(bak备份泄露)

进站是一个登陆界面：

查看源码：
访问了一下user.php，然而页面是空的，试试有没有备份文件，果然是bak备份泄露，下载之后拿到了许多的用户名，但是密码中的日期并不知道，使用bp**有两种思路：
1）对一个用户名进行年份的**
2）对一个年份进行所有用户名的**
我选择的是第二个思路：
payload里面两个地方都是载入的bak备份文件中的用户名，然后开始**(这里用的是1995年)：
然后就可以用这个账号登录了，登录之后页面是空白的，但是源码中有有用的内容：

这里有个文件上传的地方，F12把这个地方搞成可用的，我是这样搞的：
1）先在这里吧这几行代码的内容复制下来
2）添加代码内容到页面源码
在center这个节点把代码复制上去

然后就出现了文件上传的地方：

随便上传一个文件，这里上传的是个jpg文件，然后抓包：
文件名不合法。。。
改成php上传显示：只允许上传.jpg,.png,.gif,.bmp后缀的文件
然而这四种后缀都是返回文件名不合法。

尝试.jpg.php得到：

于是尝试去掉文件名中的php，使用pht或phtml替换即可，经过尝试，这两个后缀都是可以的，上传后得到：

访问view.php：

猜测是让我们以file传递参数，尝试file=flag，得到：filter “flag”
双写一下file=flflagag拿到flag：