多种上传限制突破手法

1.javascript验证突破

查看源代码

在IE中禁用掉即可（火狐的noscript插件也行）
2.大小写突破


他只是把php做了限制，改成Php就可以了
3.双重后缀名突破

在php后面加一个空格即可突破
4.过滤绕过

这个大家应该经常遇到，上传一个php会自动改成gif

我们这样改一下，pphphp，那么就过滤了 第一个php，分开的p和结尾的hp就组合成为了上图的php
5.特殊后缀名

这个源代码有问题，名不副实，也是加个空格秒杀。

特殊后缀还有php4这样的突破方法

6.文件流类型

不管怎么动后缀都不行，复制到Content-Type到百度

image/gif替换Content-Type后面的内容

7.文件重写
我个人觉得最有意思的就是这个了，

要求正常链接菜刀，好可怕。
直接传个gif，再传个文件

代码：
<FilesMatch "95zz.gif">
SetHandler application/x-httpd-php
</FilesMatch>
这里去访问就能看到已经解析了。（不是访问文件，而是gif）
先放着，明年再来更新
（最新安全狗这些绕过简直轻轻松松的，欢迎提供靶场）

顶