网站的文件上传功能原本是正常的业务需求，如用户需要上传头像、文视频或照片等。但是在文件上传之后，服务器端如何对文件进行处理和解这个过程很可能带来安全隐患。

例如，黑客上传的是一个恶意的Web脚本旦被服务器解析执行，黑客将直接具有服务器的命令执行权限。综上，文传漏洞是指用户将可执行的脚本文件上传到网站服务器中，再通过URL访执行此脚本中的恶意代码，从而获得了执行服务器端命令的能力。

如今，上流传着大量的木马脚本，使上传漏洞的利用门槛极低，攻击者简单几步就可以取得执行服务器端命令的权限，甚至都不用了解漏洞的原理。这种被利用后导致的常见安全问题如下。

（1）上传文件是由Web脚本语言编写的，服务器的Web容器解释并了用户上传的脚本，从而导致恶意代码被执行。

（2）上传文件是病毒、木马文件，黑客诱骗用户或者管理员下载执

（3）上传文件是钓鱼图片或包含了其他脚本的图片，在某些版本的中被作为脚本执行，用于钓鱼和欺诈。

除此之外，还有一些不常见的利用方法。例如，将上传文件作为一个溢出服务器的后台处理程序，如图片解析模块；或者上传一个合法的文本其内容包含了PHP脚本，再通过“本地文件包含漏洞（Local File Inclu执行此脚本等。

因此，无论是网站开发还是安全防护，都应对此类漏洞予以高度重下来，我们就来重现一个文件上传漏洞的利用过程。

CISAW-ES应急服务方向认证马老师13521730416/13391509126.

 利用文件上传漏洞进行木马上传

为了向读者演示利用文件上传漏洞的过程，本实验以临时搭建的网站为例，该电影网站的前台用户可以浏览在线电影，后台管理界面进行维护。

因此，该网站的后台管理界面一定具备文件上首先要找到网站后台的登录界面，寻找网站后台登录界面L注入漏洞利用过程分析时讲解过手动寻找后台入口一下利用工具进行网站后台入口查找的方法。