一、什么是大小写绕过

我们想要上传含有恶意代码的 .php 文件，但 .php 后缀名的文件可能会被 白名单 或 黑名单拦截，从而上传失败，在某些源代码中，没有对文件的后缀用 strtolower()函数 统一进行小写化，这就会存在大小写漏洞，我们可以将 test.php 写作 test.Php，这样就可以绕过源码中的黑名单，达到上传恶意代码文件的目的。

---

二、通关思路

1、首先进行代码审计，发现大小写漏洞。

2、上传 test.php ，并利用 Burpsuite 进行抓包，将 .php 改为 .Php。

3、发现文件上传成功，在新标签页中打开，可以看到 php 代码成功执行。

代码成功执行。

---通关。