File Upload

文件上传漏洞，通常是由于服务器对用户上传文件的类型、内容等没有进行严格的过滤和检查，使得用户可以通过上传 webshell 获取服务器权限。

webshell 就是以 asp、php、jsp 或者 cgi 等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。

Github 上有好多 webshell 的代码，我暂时还没有研究，大家可以自行选择~

破解思路

Low Level：这个级别没什么防御措施，直接上传即可；
Medium Level：通过 HTTP 头部信息中 Content-Type 字段进行过滤，因此，通过抓包并且改文件后缀的方式亦可达到绕过的目的。即，上传时将 webshell.php 的后缀修改为服务器允许上传的后缀，之后通过抓包再将后缀修改回 .php；
High Level：在 Medium 的基础上，增加对上传文件后缀的匹配，故绕过该等级的过滤规则，需要通过文件包含漏洞来达到目的；
Impossible Level：暂时无法破解，因为服务器会对上传的文件的文件名进行替换。

防御措施

验证！
验证！！
各种验证！！！