文件上传绕过

 黑名单绕过：

第一种：大小写绕过：打开上传界面，弹出“不能上传php文件”的提示，猜测是通过客户端黑名单来限制上传文件的类型。修改文件扩展名为.PhP,利用大小写绕过

第二种：修改为*.php3 php5 php.abc

第三种：先上传一个带有一句话木马的文件，再上传一个解析的文件

`<FilesMatch "abc.jpg">`  //匹配名称中带有abc.jpg的文件
`SetHandler application/x-httpd-php`  //将其按php解析

    </FilesMatch>

第四种：上传没有在黑名单中的格式

第五种：后缀名加空
设置为1. php（1.空格php）

第六种：
没有对后缀名进行去”:: $DATA”处理，利用windows特性，可在后缀名中加” ::$DATA”绕过：

第七种：
黑名单过滤，注意第15行和之前不太一样，路径拼接的是处理后的文件名，于是构造info.php. . （点+空格+点），经过处理后，文件名变成info.php.，即可绕过。

第八种：
双写绕过

 白名单：

1. 用burpsuite，抓包改包修改上传文件格式
   例如：上传的是php.php的，改为php.jpg的就可以上传成功
   
2. 00截断