文件上傳漏洞是所有漏洞中最為直接，有效的獲取服務器權限的方法。但是想要利用好他并不容易，因為他的上傳姿勢實在是太過花哨（多）。所以這里介紹一些簡單的上傳姿勢。望大牛誤噴

專注于為中小企業(yè)提供成都網(wǎng)站建設、網(wǎng)站制作服務,電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)班戈免費做網(wǎng)站提供優(yōu)質(zhì)的服務。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動了近1000家企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網(wǎng)站建設實現(xiàn)規(guī)模擴充和轉(zhuǎn)變。

shell上傳條件：

1、上傳點

2、絕對路徑

3、要有權限

文件上傳檢驗姿勢

 1、客戶端javascript校驗（一般只校驗后綴名）

 2、服務端校驗 

    ①文件頭content-type字段校驗（image/gif）

    ②文件內(nèi)容頭校驗（GIF89a）

    ③后綴名黑名單校驗

    ④后綴名白名單校驗

    ⑤自定義正則校驗

 3、WAF設備校驗（根據(jù)不同的WAF產(chǎn)品而定）

開始上傳（先試著上傳小馬，然后在上傳大馬，因為有時大馬更容易被吃掉）

1、直接上傳shell，即php文件 （對文件類型不做限制）

2、更改后綴  

    上傳其他允許上傳格式的文件例如png、jpg。然后通過bp抓包再改后綴為php  

（在前端驗證黑白名單。判斷方式：在瀏覽加載文件，但還未點擊上傳按鈕時便彈出對話框，內(nèi)容如：只允許上傳.jpg/.jpeg/.png后綴名的文件，而此時并沒有發(fā)送數(shù)據(jù)包。一般是javascript腳本）

3、利用解析漏洞（即在文件的絕對路徑后加上 /xx.php）

    上傳例如png的文件，利用解析漏洞  （含有解析漏洞的web服務器，iis6.0，iis7.0，iis7.5，Nginx低版本）

4、不可識別的后綴 （服務器端為黑名單驗證）

    上傳例如shell.php.abc文件，服務器因為不能識別abc后綴，所以向前查找可解析的后綴名。

   （此項只針對apache服務器 apache對文件后綴名的識別是從后向前進行匹配的，以單個.作為分隔符。當遇到未知的文件后綴名時，會繼續(xù)向前匹配，直到遇到可以識別的后綴名為止。 apache的這個特性，可以被用來繞過一些上傳文件的檢測。如果一個文件上傳的頁面，通過黑名單的方式禁止上傳php文件，那么我們就可以將文件名修改為test.php.abcd的方式進行上傳）

5、00截斷

    上傳類似shell.php.jpg文件，用burpsuit抓包之更改hex值，在hex下找到shell.php.jpg將第二個點的值（我記得是2e）改為00，然后點擊forward（將包放行）

6、圖片馬

    在win系統(tǒng)cmd下可以很容易將php文件與jpg或者png文件結(jié)合起來，例 copy /b 1.jpg+1.php shell.jpg 即可將圖片與碼結(jié)合起來了，因為有些服務器會檢測圖片頭，若不是圖片頭是不允許上傳的。將圖片與碼結(jié)合起來可以有效的隱藏***。這里別忘了要上傳的是php文件，可以使用以上的那些方法

（這個是針對服務端content-type字段檢驗的）

7、.htaccess 文件***上傳shell（服務器端為黑名單驗證）

    .htaccess文件是Apache服務器中的一個配置文件，它負責相關目錄下的網(wǎng)頁配置.通過htaccess文件，可以實現(xiàn):網(wǎng)頁301重定向、自定義404頁面、改變文件擴展名、允許/阻止特定的用戶或者目錄的訪問、禁止目錄列表、配置默認文檔等功能。

    ①、寫.htaccess文件

            需要用到的代碼如下:

              SetHandler application/x-httpd一php

            （通過.htaccess文件，調(diào)用php的解析器解析一個文件名只要包含“cimer”這個字符串的任意文件。）

            然后保存文件（名稱、類型如下）

    ②、上傳.htaccess文件

    ③、將shell后綴改為cimer

    ④、然后上傳shell.cimer

    ⑤、然后就可以連接了

    如果看不懂看以參考  http://www.sohu.com/a/125498727_609556

上傳方法很多，也有各種各樣的奇葩繞過方法，我知道的也是九牛一毛，這里對奇葩事例記錄一下，為防止以后忘記。

事例：海盜云商  會員改頭像  burpsuit抓包后在content-type下加上文件大小 就可以getshell

    或者上傳圖片后再加入***，就可以getshell（這里有一個問題，就是 一句話是沒有分號的，有分號            反而不成功）

https://www.cnblogs.com/shellr00t/p/6426945.html  這個網(wǎng)址不錯可以看看