1.直接上传asp.asa.jsp.cer.php.aspx.htr.cdx....之类的马,拿到shell。
2.就是在上传时在后缀后面加空格或者加几点,也许也会有惊奇的发现。例:*.asp ,*.asp..。
3.利用双重扩展名上传例如:*.jpg.asa格式(也可以配上第二点一起利用)。
4.gif 文件头欺骗,gif89a文件头检测是指程序为了他人将asp等文件后缀改为gif后上传,读取gif文件头,检测是否有gif87a或gif89a标记,是就允许上传,不是就说明不是gif文件。 而欺骗刚好是利用检测这两个标记,只要在木马代码前加gif87a就能骗过去。
