LiBai__的博客

原创 文件上传漏洞总结

黑名单，顾名思义只要出现在名单之中的后缀，都不能上传成功，这就是黑名单的过滤方式。在upload-labs中以上便是一个常见的黑名单写法，下面是在用if语句来验证获得的文件后缀是否在数组里。这种过滤方式的弊端也很明显。如果过滤方式写的不严谨，内容不齐全。根据他的规则，只要没出现在黑名单中的后缀文件都可以上传成功。我们可以借助一些特殊的方式或者后缀。例如解析漏洞、特殊解析后缀php5(达成一些条件，也能解析成php文件)否则，只能利用一些特殊的绕过方法。例如%00截断，::$DATA。