文章总结： 本文解析UploadLabs第10关利用Windows文件解析特性绕过黑名单的方法。通过构造点空格点文件名，利用服务器检测逻辑与Windows保存规则的差异成功上传Webshell。文章详细分析了源码缺陷，演示了实战利用过程，并给出了白名单校验与文件重命名等具体防御措施。 综合评分： 90 文章分类： WEB安全,漏洞分析,渗透测试,漏洞POC

3 严格过滤文件名

禁止出现：

空格多个点特殊字符

七、本关总结

Upload Labs 第10关的绕过核心是：

点 + 空格 + 点

构造文件名：

shell.php . .

利用 Windows 文件系统自动忽略 末尾空格和点 的特性，使服务器检测到的扩展名与实际保存的文件名不一致，从而绕过黑名单限制。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：武文学网安 武文学网安 武文学网安《Upload Labs 第10关：点空格点绕过文件上传限制》