アップローダを利用をしたハッキングについて

アップローダって特定の拡張子を許可するのが主で、
特定の拡張子を拒否する作りなんてありうるのですか？

ありえると言えばありえるとは思いますが、通常はホワイトリスト形式にするとは思います。ただ、ファイルの拡張子は簡単に偽造出来るので、この手のアップローダーを設置する際にファイルの拡張子チェックしていればいいというのは間違いだ、ということをこの動画で伝えたいのだと思います。

つまり、この実演で成功できるハッキングは現実的ではないということにならないのでしょうか？

公開ディレクトリ以下にアップロードファイルを展開していたり、Apacheの設定でディレクトリインデックスが公開されていたりなども含めて、リアリティー感は低いと思います（あえてそういう作りや設定にすることは可能ですが）。ただ、この手の知識を身につけることで、少しでもセキュリティーに関する意識を高めてほしいという動画のつくりだと思います。