No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Pones filtros demasiado sencillos, bypassea este que acabo de improvisar a ver si puedes:

$extension = end(explode(".", $nombre));
$extensiones = array("jpg", "png", "gif", "jpeg", "bmp");
if(in_array($extension, $extensiones)){
$nombrefinal = $id.".".$extension;  //$id es un numero aleatorio.
//se sube el archivo
} else {
echo "No se puede subir un archivo que no tenga extensión jpg, png, gif, jpeg, o bmp";
}

También se podría, abres mozilla firefox te descargas live http headers
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Primer paso renombras la shell como shell.php.jpg (La extension jpg y el nombre php)
subes la shell. No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Te dará error de formato y te dira que no puedes subirla, el http habra capturado los datos no que  nosotros no vemos, le das a replay y borras .jpg y como no pasa por el filtro ya tendrás tu shell subida en php
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Nose si me he explicado bien pero si teneis alguna duda me mandais MP o lo dejais en comentario y lo ago más detalladamente

mm Cuando intento atacar a mi IP para probar aver si funciona me sale esto: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y la ip del host no es la misma que la que pone en el wireshark, alguien me puede ayudar? Se lo agradeceria