没有将文件重命名，外加本地JS验证。配合IIS6.0解析漏洞 如果是IIS7 的话用火狐

admin

漏洞出在fileload目录下的FileUpload.asp文件中，用的是无惧组建上传
& C" ^; N9 Z: r3 p. F. ?
  
5 v3 }; x( @# B* H9 Q. _6 Z: G
* E: {* q5 r1 l  L7 V2 i9 }看代码
! M* H4 r) M, z& X+ O

# Y* G1 o6 M) ?, K
6 h" P( t& |) E" z( d8 q5 h01 var fu = new FileUpload("uploadForm","idFile", { Limit: 3, ExtIn: ["rar","doc","xls"], RanName: true,

7 @& G' C9 D& p: \4 q9 j# B! W, v5 S02     onIniFile: function(file){ file.value ? file.style.display ="none" : this.Folder.removeChild(file); },

. }) D3 F7 ^0 i: d# m( e8 x9 `03     onEmpty: function(){ alert("请选择一个文件"); },

04     onLimite: function(){ alert("超过上传限制"); },
; K. g8 F; N3 t1 K  s2 }7 n
05     onSame: function(){ alert("已经有相同文件"); },
' x% V  X' g5 c, U8 m. f
8 b+ f7 S( n+ ^; z1 l3 K8 d06     onNotExtIn: function(){ alert("只允许上传" + this.ExtIn.join("，") +"文件"); },

07     onFail: function(file){ this.Folder.removeChild(file); },
. r1 P9 C' T+ i0 S4 h2 `$ w5 j" v2 F
08     onIni: function(){
! W9 ~: n8 q. ~- l2 G- n- [
09         //显示文件列表
$ o. }5 i, v& Q4 a1 m8 c
: B# u: B' Y* `% N; j, H10         var arrRows = [];

11         if(this.Files.length){

3 w- z+ b" D! U12             var oThis = this;

' s7 `& {( f+ x! N' _3 h% N13             Each(this.Files, function(o){

14                 var a = document.createElement("a"); a.innerHTML ="取消"; a.href ="javascript:void(0);";

15                 a.onclick = function(){ oThis.Delete(o); return false; };

/ F7 W- s$ T$ T- N9 Z16                 arrRows.push([o.value, a]);

! v5 Q2 d! `0 k17             });

18         } else { arrRows.push(["<font color='gray'>没有添加文件</font>"," "]); }

  C. ^0 a" F% n- I* d; j" }6 ], N19         AddList(arrRows);

% k6 d7 W; k- s) F" |0 c3 j20         //设置按钮

2 R- p# K$ N! ?* O; D% z21         $("idBtnupload").disabled = $("idBtndel").disabled = this.Files.length <= 0;
( @( o9 z" y( L  m. p
1 h# P* W3 W" P22     }

# L. G3 {9 v( o1 O7 B3 O6 `) i23 });

& p# k$ D$ ~! D8 z24   

9 ~5 s7 L( I' `25 $("idBtnupload").onclick = function(){
. q9 f0 f( H( Y9 T
4 ]+ F! `8 F" Z" k9 A3 F; u8 u26     //显示文件列表

1 |9 J! J& C% H- Q% E27     var arrRows = [];
1 x: h* f7 ^, y$ `; b- _: ?5 u+ c
$ t$ w- }. Q. Q* @3 q% {6 {28     Each(fu.Files, function(o){ arrRows.push([o.value," "]); });
1 V/ p7 S+ m& y; [' U9 _' `1 ?
29     AddList(arrRows);

30      
, s! y3 |. A* i: q$ z. b: b
31     fu.Folder.style.display ="none";

32     $("idProcess").style.display ="";

$ O1 S" e9 s7 Q( o  P9 z+ m33     $("idMsg").innerHTML ="正在上传文件到服务器，请稍候……<br />有可能因为网络问题，出现程序长时间无响应，请点击“<a href='?'><font color='red'>取消</font></a>”重新上传文件";

) u$ n& B+ P; H/ E6 P& u1 R- O+ E; B34      
6 @7 N$ z+ o" n% C5 w
35     fu.Form.submit();
* ^( p5 H2 A3 w$ n8 U4 H4 Q
36 }
4 i$ ]" p9 s% w: J
37   

4 ]. F. Q$ q4 N38 //用来添加文件列表的函数
' [* ^4 P: i2 I8 T
$ h- x1 L- L# k39 function AddList(rows){

40     //根据数组来添加列表

7 i/ V' e# Y0 Y$ z5 G2 n# k41     var FileList = $("idFileList"), oFragment = document.createDocumentFragment();

42     //用文档碎片保存列表
+ r" _6 {8 y* z7 @: T: a
3 t% h0 S! n2 L9 x! l+ s8 `. W3 h" A43     Each(rows, function(cells){

) \; W5 v% D0 G- o' x$ |) F7 k44         var row = document.createElement("tr");

45         Each(cells, function(o){
9 c$ @6 V# E+ K4 f% h. B
* D1 g) m9 Y# z7 N! `' I46             var cell = document.createElement("td");

47             if(typeof o =="string"){ cell.innerHTML = o; }else{ cell.appendChild(o); }
  c1 W3 e& o5 E( i, _
48             row.appendChild(cell);

49         });

! R( Z- D9 b* z0 c( r" d6 w* ]50         oFragment.appendChild(row);
& G0 Z1 d1 u" f; R6 x" {$ g4 K0 @
51     })
5 J2 E7 N, l& W
3 h* [$ X( ^0 Z& |52     //ie的table不支持innerHTML所以这样清空table
: H* u0 K; S! w! `
53     while(FileList.hasChildNodes()){ FileList.removeChild(FileList.firstChild); }

54     FileList.appendChild(oFragment);

0 U! Q: o3 t' @6 l1 b55 }

56   
* D1 Q# Z6 R  P6 l9 f& T' C
57   
- r! m# E6 H' c3 {! k7 ^& `5 @
58 $("idLimit").innerHTML = fu.Limit;

5 X1 Q0 m4 |6 e$ x59   

60 $("idExt").innerHTML = fu.ExtIn.join("，");
$ O# G  s$ K4 b' ]( L
# _- H8 p$ b3 u  M- @61   

62 $("idBtndel").onclick = function(){ fu.Clear(); }
, j# s7 o+ ~5 L8 ?; S% v$ @
63   
+ o7 z( N5 i& s) Z4 F/ @$ F+ K5 y
64 //在后台通过window.parent来访问主页面的函数
$ B0 V4 R* X* c
' r$ }$ [9 K/ v  Z& G65 function Finish(msg){ alert(msg); location.href = location.href; }

66   

67   </script>

68   <span class="STYLE1">　<strong>　注意：</strong></span></p>

8 ^# V2 g& f7 l( T9 [  H* _! b# _69 <p class="STYLE1">　　·请选择【<strong id="idExt">rar，doc，xls</strong>】格式的文件，其他格式的文件请打包后再上传。</p>
: V  X( ]: l5 v: g
70 <p class="STYLE1">　　·文件名尽量详细，以方便下载。</p>

71 <p class="STYLE1"> 　　·文件不能过大。 </p>
+ A& N7 e4 w) l& @; J
72 </body>

73 </html>
: c0 l/ C8 R( d, `/ Y2 {9 D
8 j$ u& i. v0 S6 L' {. B# G