首先用御剑扫描目录得到上传目录 /admin/upload1.php /admin/upload2.php 扫出来这么些，大概也够了，打开命名是upload1的php文件，不过中间可以看到有个上传页面一闪而过。看来有跳转，用burp拦截一下，点击了确定之后就会跳到真正的上传页面，burp拦截到的内容如下： 我已经上传了php一句话木马...

下载抓包软件打开，发现里面频繁出现Telnet连接产生的数据，由于Telnet是明文传输的，思考一下可能会看到明文的账号和密码，于是对数据包进行过滤 从这个数据包开始可以看到出现了Telnet登录的信息，于是一个包一个包的往下看，就可以看到 login:bugku  还有password：flag{bugku123456}

找到该文件，经典的回调函数形式 菜刀连接， ip/www/Exception.php?POST=assert  密码为assert 得到key