upload-labs·文件上传(靶场攻略)-CSDN博客
黑名单就是服务端明确不让上传的格式后缀，例如：rar、php、zip等。

黑名单绕过方法：
1、大小写绕过
windows对大小写不敏感，所以上传大小写混写的php进行绕过
（因为后端一般验证后缀字符串是否和‘php’相等，（前提是没有将你传入的字符串进行小写转换后再对比），大写字母和小写字母肯定不相等，所以可以利用这一点进行绕过，又因为windows对大小写不敏感，所以.PhP文件被当成php文件解析）
2、双写绕过:
服务端将黑名单的后缀名替换为空，但是仅替换一次，所以可以上传.pphphp后缀，替换后就成了.php
注意：双写也要技巧，不要写phphpp，消掉php后是hpp
3、特殊可解析后缀绕过：
黑名单规则不严谨，在某些特定环境中某些特殊后缀仍会被当作php文件解析
php、php2、php3、php4、php5、php6、php7、pht、phtm、phtml


4、. htaccess绕过：
在apache中，该文件作为一个配置文件，可以用来控制所在目录的访问权限以及解析设置。即，可以通过设置 使将该目录下的所有文件作为php文件来解析
.htaccess可以写入apache配置信息，改变当前目录以及子目录的apache配置信息

常见配法有以下几种：
1）.AddHandler php5-script .jpg

2）.AddType application/x-httpd-php .jpg // jpg文件当作php代码解析

3）.Sethandler application/x-httpd-php

<FilesMatch ".*"> SetHandler application/x-httpd-php </FilesMatch>

Sethandler 将该目录及子目录的所有文件均映射为php文件类型。
Addhandler 使用 php5-script 处理器来解析所匹配到的文件。
AddType 将特定扩展名文件映射为php文件类型。

简单来说就是，可以将我们所的文件都解析成php或者是特定的文件解析为php

先上传htaccess文件，再上传jpg文件
ngnix用
ngnix.htaccess

5、使用Windows特性绕过：
Windows对文件和文件名有限制，当以下字符放在结尾时，不符合操作系统的命名规范，在最后生成文件时会自动去掉字符
file.php[空格]
file.php[.] （多少个 . 都可以）
file.php[%80-%99] (用bp抓包，在文件名结尾输入%xx，CTRL+SHIFT+U进行URL解码，或者增加一个空格，在hex视图中把20修改为xx)虽然解码后和空格长得一样，但是他真的不是空格！）
还有另外两种windows特性，原理比较复杂，可以简单理解为自动去掉后面的字符串
6 、 ::$DATA\mathrm{绕}\mathrm{过}（\mathrm{没}\mathrm{有}\mathrm{空}\mathrm{格}，\mathrm{大}\mathrm{小}\mathrm{写}\mathrm{都}\mathrm{行}）\mathrm{在}window\mathrm{的}\mathrm{时}\mathrm{候}\mathrm{如}\mathrm{果}\mathrm{文}\mathrm{件}\mathrm{名}+“::$ DATA“会把::$ DATA之后的数据当成文件流处理,不会检测后缀名，且保持::$DATA之前的文件名，他的目的就是不检查后缀名
bp抓包添加
7、一次过滤绕过
通过源码发现本关之前所有的绕过思路都被过滤了，但是通过源码发现，所有的过滤都是一次的，并未对其进行循环过滤。也就是说源码中提到的删除空格，删除点都是只删除一次，那么可以在数据包中将php后缀添加. .，形成.php.  .，由于只验证一次，所以删除一个点和一个空格后就不在删除了。
bp抓包添加