打开是一个上传页面这里限制了只能上传图片文件这里将xss.html改为xss.html.jpg然后使用burp抓包将后缀改回来放包显示上传成果通过刚刚的返回包信息可以找到上传后的文件地址访问得到flag