制作图片马，比较老的技术了

之前用ew生成过，这里直接在cmd下执行：

文件上传+文件包含配合

upload-labs第14题：

成功上传之前的图片马

这里upload-labs目录下有个文件包含的文件内容如下：

抓包查看到文件上传成功后返回一个路径

因此我们上传图片马结合该文件包含即可成功解析里面的php语句

总结：

文件上传漏洞：

前端js验证，content-type验证，黑名单白名单，::$DATA,.htaccesss解析漏洞，双写，大小写绕过，%00截断(十六进制修改内容)，图片马。。。