Webshell

Webshell：

通过一定途径将webshell上传至服务器具有执行权限（必须要有执行权限才可以，没有执行权限是没有用的）的WEB目录下。远程访问webshell实现控制服务器的目的。

常见的上传方法有直接上传、解析漏洞上传、截断上传等

直接上传：

某些网站未对上传文件类型和内容做校验、因此可以直接上传webshell文件。

Eg:用户管理上传用户照片。可以上传文件。利用黑名单白名单上传木马。

解析漏洞上传：

是指web容器在解析文件时出现了漏洞，可以利用该漏洞实现非法文件的解析。常见的web服务器如IIS、nginx、apahce均存在解析漏洞，例如IIS6.0,IIS6.0将文件夹名为1.php下的所有文件作为php解析。

截断上传：

%00代表空字符，通常用于截断。一般情况下，web服务器读取文件名至%00字符时即会停止读取，并将后面的内容丢弃。因此1.php%002.txt上传至服务器后变为1.php。