文件上传漏洞及webshell简介

文件上传漏洞

漏洞概述

文件上传是web应用的必备功能之一，比如上传头像显示个性化、上传附件共享文件、上传脚本更新网站等。如果服务器配置不当或者没有进行足够的过滤，web用户就可以上传任意文件，包括恶意脚本文件、exe程序等，这就造成了文件上传漏洞。

漏洞成因

文件上传漏洞的成因，一方面服务器配置不当会导致任意文件上传;另一方面，web应用开放了文件上传功能，并且对上传的文件没有进行足够的限制;再者就是，程序开发部署时候，没有考虑到系统特性和验证和过滤不严格而导致限制被绕过，上传任意文件。

漏洞危害

上传漏洞最直接的威胁就是上传任意文件，包括恶意脚本、程序等。如果web服务器所保存上传文件的可写目录具有执行权限，那么就可以直接上传后门文件，导致网站沦陷。如果攻击者通过其他漏洞进行提权操作，拿到系统管理权限，那么直接导致服务器沦陷。同服务器下的其他网站无一幸免，均会被攻击者控制。
通过上传漏洞获得的网站后门，就是webShell。

Webshell

在计算机科学中，Shell俗称壳（用来区别于“核")，是指"为使用者提供操作界面"的软件（命令解释器)。类似于windows系统给的cmd.exe或者linux 下bash 等，虽然这些系统上的命令解释器不止一种。
webShell是一个网站的后门，也是一个命令解释器，不过是以web方式(HTTP协议）通信（传递命令消息)，继承了web用户的权限。webShell本质上是在服务器端可运行的