1.文件上传更改上传类型

上传文件时存在上传类型固定（jpg、png、gif）如果是前端确定（弹窗，后端未出现请求确定是前端）只需要在设置中禁用js代码或抓包更改文件后缀名就可以上传其他类型的文件（亦可用于复制文章内容）。

后端可以抓包后更改MIME类型进行绕过。

后端调用函数（会验证图片后缀名、类型、图片尺寸大小），就需要上传图片马

2.图片马制作

（1）在两个文件所在位置使用windows的cmd，执行下列语句:

（2）文本方式打开图片直接粘贴一句话木马

将一个图片以文本格式打开(这里用的notepad++.以记事本方式打开修改也能连接成功,不过修改后图片无法正常显示了),
后面粘贴上一句话木马

3.文件上传方式

（1）文件只过滤php文件，并未过滤php3和php5时可将含有木马的文件名更改为php3或php5。
（2）.htaccess文件
黑名单拒绝了几乎所有有问题的后缀名，除了.htaccess，前提条件（1.mod_rewrite模块开启。2.AllowOverride All）
在这里插入图片描述因此先上传一个.htaccess文件，内容如下：

这样所有文件都会当成php来解析
（3）文件名大小写绕过
（4）前端js和后端绕过