环境：

Windows+nginx+php

一、php源码

<?php
//U-Mail demo ...
if(isset($_POST['submit'])){
    $filename = $_POST['filename'];
    $filename = preg_replace("/[^\w]/i", "", $filename);
    $upfile = $_FILES['file']['name'];
    $upfile = str_replace(';',"",$upfile);
    $upfile = preg_replace("/[^(\w|\:|\$|\.|\<|\>)]/i", "", $upfile);
    $tempfile = $_FILES['file']['tmp_name'];
    $ext = trim(get_extension($upfile)); // null
    if(in_array($ext,array('php','php3','php5'))){
        die('Warning ! File type error..');
    }
    if($ext == 'asp' or $ext == 'asa' or $ext == 'cer' or $ext == 'cdx' or $ext == 'aspx' or $ext == 'htaccess') $ext = 'file';
  //$savefile = 'upload/'.$upfile;
    $savefile = 'upload/'.$filename.".".$ext;
    if(move_uploaded_file($tempfile,$savefile)){
        die('Success upload..path :'.$savefile);
    }else{
        die('Upload failed..');
    }
}
function get_extension($file){
    return strtolower(substr($file, strrpos($file, '.')+1));
}
?>

前端源码：

<html>
 <body>
  <form method="post" action="upfile.php" enctype="multipart/form-data">
   <input type="file" name="file" value=""/>
   <input type="hidden" name="filename" value="file"/>
   <input type="submit" name="submit" value="upload"/>
  </form>
 </body>
</html>

二、分析源码

三、那我先随便上传一个

无法上传：

 

在Windows+php+nginx下有特性：

双引号等于点

大于符号等于问号

小于符号等于星号 

因为我们经常了解的%00截断，在Windows里面还有一个111.php:jpg上传的话从jpg处会截断但是我们的php文件为空，而我们可以利用上面所说的特性对其进行覆盖

理论形成实践开始

很明显上传上来了但是没有值

 那我们就可以利用小于号代表星号，星号又代表所有，上传一个空白的php文件

顺利覆盖掉了