最近剛出的一個(gè)用來(lái)練習(xí)文件上傳漏洞的一個(gè)教程--------upload-labs;它的任務(wù)是上傳一個(gè)webshell到服務(wù)器，原理性的東西我們這里就不進(jìn)行詳細(xì)的講解了，從upload以下的每一個(gè)關(guān)卡中，你能真正體會(huì)到什么是文件上傳漏洞，它一共19道題，接下來(lái)我們一步一步分析；

1. 客戶端檢測(cè)繞過(guò)(javascript 檢測(cè))：
   首先我們可以看到，桌面上有一個(gè)文件名為zqlone.php文件，我們要想把這個(gè)文件作為webshell上傳到服務(wù)器上，這是我們的目的

   
   
   1
   
   

   我們?yōu)g覽這個(gè)文件然后點(diǎn)擊上傳，這時(shí)會(huì)出點(diǎn)一個(gè)警告框提醒你文件的后綴名不符合，如圖所示：

   
   
   2
   
   這時(shí)我們可以先將zqlone.php的后綴名改為他需要的格式然后通過(guò)burp抓包的方式修改后綴名達(dá)到我們想要的目的；
   
   3
   
   
   4
   
   
   5
   
   

   這時(shí)我們會(huì)將我們的php文件成功寫(xiě)入服務(wù)器中，如圖：

   
   
   6
   
   
   7
   
   成功將我們的PHP文件寫(xiě)入數(shù)據(jù)庫(kù)中，然后就通過(guò)菜刀工具進(jìn)入到它的電腦中得到自己想要的東西?。?！