没有将文件重命名，外加本地JS验证。配合IIS6.0解析漏洞 如果是IIS7 的话用火狐

admin

漏洞出在fileload目录下的FileUpload.asp文件中，用的是无惧组建上传
8 e9 n! r  U* O# p0 O
% V6 Y- d# ~3 g  
+ P& w) y) g% U% F) ]  i7 L" d
看代码


) D- M% E" M8 O$ ]4 ~
, ]) S; |  @4 ^$ h- @7 B01 var fu = new FileUpload("uploadForm","idFile", { Limit: 3, ExtIn: ["rar","doc","xls"], RanName: true,

0 P8 o; ]1 m; J* v5 f" X3 J1 n4 P02     onIniFile: function(file){ file.value ? file.style.display ="none" : this.Folder.removeChild(file); },

1 ^# Q& L( a/ U# {1 n" N03     onEmpty: function(){ alert("请选择一个文件"); },

04     onLimite: function(){ alert("超过上传限制"); },
: X. t$ ~3 u/ n% Q
05     onSame: function(){ alert("已经有相同文件"); },

06     onNotExtIn: function(){ alert("只允许上传" + this.ExtIn.join("，") +"文件"); },
; y0 N+ [5 _1 B$ ]. k2 q
07     onFail: function(file){ this.Folder.removeChild(file); },

08     onIni: function(){
# G8 r* B; e) A; O, I
4 l0 s+ G/ R  b" F09         //显示文件列表
  A5 h. Q1 Y  `3 h
4 }' f' D: y( a. |10         var arrRows = [];
' F: U/ O( z% G& G& p% \' r
11         if(this.Files.length){

12             var oThis = this;
  f4 [0 \- s* h9 }0 [2 q! o
: D8 S  ?1 O! q, V13             Each(this.Files, function(o){
' s' z# z3 D; Y! v- B, _, {- \
% P3 @! a/ k2 S5 K! ^6 d2 r5 {' Q+ [. L14                 var a = document.createElement("a"); a.innerHTML ="取消"; a.href ="javascript:void(0);";

15                 a.onclick = function(){ oThis.Delete(o); return false; };
( Y" ~0 Z# w+ y  s$ ^  D
16                 arrRows.push([o.value, a]);
9 K6 T* N* o) A: b7 y0 L# h
17             });

8 G3 A+ }  m7 m8 K' j- Y18         } else { arrRows.push(["<font color='gray'>没有添加文件</font>"," "]); }

19         AddList(arrRows);

3 ~: G) \2 b4 Q4 s20         //设置按钮
" `+ N8 I6 i( e7 ^" g( p% p$ S
21         $("idBtnupload").disabled = $("idBtndel").disabled = this.Files.length <= 0;
: U4 {0 i3 ^  H# R- q
/ \7 t1 T$ k+ |# n2 j22     }
' K7 b* E" r7 I' C
. M# G5 E" V0 b2 d0 `23 });
  \" C" V+ B! H/ L4 n% s
* p! w+ t; E* Q6 }( H24   

25 $("idBtnupload").onclick = function(){

" ]4 ^3 }/ t# D3 A! I% R; k26     //显示文件列表
* }6 x/ O3 I# P3 }' M1 m! n
1 E' _/ q) q7 \4 C0 k* w/ B27     var arrRows = [];

28     Each(fu.Files, function(o){ arrRows.push([o.value," "]); });
* N! C$ o) H( a  l6 u1 A
29     AddList(arrRows);
7 z3 V; D5 t3 M2 A- h' o
4 U5 D+ d( B7 R1 x' U30      
$ V2 D# j) A) c1 {6 w
4 t- X9 F2 }; D4 U/ ^5 A& V31     fu.Folder.style.display ="none";

. q# R- j% I1 t* A# Z% ]9 F. a3 y4 I3 t/ o32     $("idProcess").style.display ="";

33     $("idMsg").innerHTML ="正在上传文件到服务器，请稍候……<br />有可能因为网络问题，出现程序长时间无响应，请点击“<a href='?'><font color='red'>取消</font></a>”重新上传文件";
6 A' Y' E' l( p
34      
) m/ q+ x+ n+ z0 p/ X6 m
- Q2 L& f/ y* P& S4 y* q- J35     fu.Form.submit();

6 ^. \7 {: t0 c* N* D5 C36 }

% s: s. P2 Y4 d/ H0 m+ V9 h6 ]37   
3 Q# q! P! T) ~$ \) s/ J+ k
38 //用来添加文件列表的函数

39 function AddList(rows){

40     //根据数组来添加列表
( E6 ^2 P+ u' e; K( |$ M
  g& e" o0 [. l! C! }1 O41     var FileList = $("idFileList"), oFragment = document.createDocumentFragment();

& |* T5 d; |" u7 L- x* _- X42     //用文档碎片保存列表
" j3 z9 f& R2 B
43     Each(rows, function(cells){
- a6 p. T! k9 o- l
44         var row = document.createElement("tr");

45         Each(cells, function(o){

' P* I* \; L* G' B6 o46             var cell = document.createElement("td");
. {, f  @; c. V0 j( o
47             if(typeof o =="string"){ cell.innerHTML = o; }else{ cell.appendChild(o); }
8 t9 t& v! ~3 Y9 B
3 W+ f) b- t* ~( Y48             row.appendChild(cell);

; J( ]& L1 `5 s0 P5 Y49         });
- m3 N& D% r+ Y9 V$ W) B( ]' h
; }' J3 r/ {) F4 ?3 D7 Q50         oFragment.appendChild(row);

4 M6 C0 D) n' ]0 r51     })
7 q0 \: f3 m, ]* ], L) U
1 Z8 O3 m3 n( J1 E) j52     //ie的table不支持innerHTML所以这样清空table

$ B/ h6 J9 \! s. s53     while(FileList.hasChildNodes()){ FileList.removeChild(FileList.firstChild); }

54     FileList.appendChild(oFragment);
" r+ r6 I3 _  |$ d/ m5 \0 X' r' q
! ]) ]( z: g+ F3 [! m55 }
- N! V2 I" z! h4 g' S
% G) L# i' m( ^  _5 ^" d# |; D; Y56   

57   

) ~/ ^3 G* n$ u/ s% ]! q, Q58 $("idLimit").innerHTML = fu.Limit;
3 c+ M! E- m* |- W# S% n& G3 _
59   
- k  R( W  j7 E  [
60 $("idExt").innerHTML = fu.ExtIn.join("，");

' H: s6 H4 X4 f: E61   
. g& \7 H: ?/ p
62 $("idBtndel").onclick = function(){ fu.Clear(); }
0 I8 V9 I- A  d& z! J
$ A+ l3 s; G/ H& v4 G! n63   
1 V# ~" v* ]6 i* z; t
64 //在后台通过window.parent来访问主页面的函数
' c- Y" S  g$ p2 T0 P2 H
# F% y, @  a: ?. d0 u9 p* c65 function Finish(msg){ alert(msg); location.href = location.href; }
; _) D: I% V( a* l: t# h# x+ ?
! p" x/ u5 c& l# B4 d6 Y66   
  e1 |3 i" q  X4 Q7 Y
. F4 E7 X6 A+ ]67   </script>
: _$ Z: v/ I0 e% ?
" Y) V6 X& Z7 E0 u+ J' x+ S/ n68   <span class="STYLE1">　<strong>　注意：</strong></span></p>
/ v0 R! H7 ?  o5 h: B8 ^
69 <p class="STYLE1">　　·请选择【<strong id="idExt">rar，doc，xls</strong>】格式的文件，其他格式的文件请打包后再上传。</p>

! N6 x4 S3 _' m0 n$ t! ~, R! Y70 <p class="STYLE1">　　·文件名尽量详细，以方便下载。</p>
8 A4 C; ~7 z6 W  P
71 <p class="STYLE1"> 　　·文件不能过大。 </p>

1 E4 p; n0 [+ X- O72 </body>

73 </html>