本内容只做思想，因为这些已经是以前的了

上传参数名解析：明确有哪些东西能修改？
Content-Disposition: 一般可更改

name: 表单参数值，不能更改

filename :文件名，可以更改

Content-Type:文件MIME，视情况更改

常见的绕过方法
数据溢出-防匹配(xxx… .)

符号变异-防匹配（'和"和;)

数据截断-防匹配(%00 ;换行)

重复数据-防匹配(参数多次)x

FUZZ大法

数据溢出-防匹配

符号变异-防匹配（'和"和;)
去掉双引号

删除后面的"

切换成’

数据截断-防匹配(%00 ;换行)
%00截断

换行执行

还有一种是反斜杠filename=shell.jpg/shell.php;
重复数据-防匹配
只有最后一个数据后缀匹配

FUZZ大法

抓包，将上传的文件名作为poyload进行攻击
FUZZ字典
https://github.com/fuzzdb-project/fuzzdb
https://github.com/TheKingOfDuck/fuzzDicts
https://github.com/TuuuNya/fuzz_dict
https://github.com/jas502n/fuzz-wooyun-org

缺点大规模的测试会被墙，IP被封，所以需要IP池

这就被墙了