转载 https://www.cnblogs.com/YGblood/p/10443600.html
1.目标网站具有上传功能
上传攻击的前提是:目标网站具有上传功能,可以上传文件,并且上传文件,并且文件上传到服务器能被存储。
2.上传的目标文件能够被Web服务器解析执行
由于上传文件需要依靠中间件解析执行,因此上传文件后缀应为可执行格式。在APache+PHP环境下,要求上传的web木马采 用.php后缀名(或者能有以PHP方式解析的后缀名),并且存放上传文件的目录要有执行脚本的权限。以上两种缺一不可。
3.知道文件上传到服务器后的存放路径和文件名称
许多web应用都会修改上传文件的文件名称,这时就需要结合其他漏洞获取这些信息。
如果不知道上传的存放路径和文件名称,即使上传成功也无法访问。因此,如果上传成功但不知道真实路径,那么攻击没 有任何意义。
4.目标文件可被用户访问
如果文件上传后,却不能通过Web访问,或者真实路径无法获取,木马这无法攻击者打开,那么就不能成功实施攻击。