前序

首先欢迎来到上传漏洞靶场，由于本人比较菜，请大家阅读时尽量理解一下…
那么本文主要是针对新人，会详细的讲述怎么做，如何实现一些功能，如有不足，希望各位在文章评论处留言…

使用工具

火狐浏览器
BurpSuite
蚁剑
来点介绍吧
可能读者会和我一样，对于什么是上传漏洞不是很了解，那我们一起去了解一下
upload-labs是什么？
upload-labs是一个使用php语言编写的，专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。

上传漏洞会造成什么危害？？？

上传漏洞与SQL注入或 XSS相比，其风险更大，如果 Web应用程序存在上传漏洞，攻击者上传的文件是Web脚本语言，服务器的Web容器解释并执行了用户上传的脚本，导致代码执行。如果上传的文件是Flash的策略文件crossdomain.xml，黑客用以控制Flash在该域下的行为。
如果上传的文件是病毒、木马文件，黑客用以诱骗用户或者管理员下载执行。如果上传的文件是钓鱼图片或为包含了脚本的图片，在某些版本的浏览器中会被作为脚本执行，被用于钓鱼和欺诈。甚至攻击者可以直接上传一个webshell到服务器上完全控制系统或致使系统瘫痪。（转载于bilibili）

文件上传漏洞原理

大部分的网站和应用系统都有上传功能，而程序员在开发任意文件上传功能时，并未考虑文件格式后缀的合法性校验或者是否只在前端通过js进行后缀检验。
这时攻击者可以上传一个与网站脚本语言相对应的恶意代码动态脚本，例如(jsp、asp、php、aspx文件后缀)到服务器上，从而访问这些恶意脚本中包含的恶意代码，进行动态解析最终达到执行恶意代码的效果，进一步影响服务器安全。（转载于bilibili）

了解完这些后，那我们开始正文的学习吧…