没有将文件重命名，外加本地JS验证。配合IIS6.0解析漏洞 如果是IIS7 的话用火狐

admin

漏洞出在fileload目录下的FileUpload.asp文件中，用的是无惧组建上传

/ N5 V+ }. V& m: V# S  

看代码
' t+ l' \$ T* V

9 \. W! ]6 b6 ^& L' R
: n2 s* C# Q' g3 m4 w5 V- G01 var fu = new FileUpload("uploadForm","idFile", { Limit: 3, ExtIn: ["rar","doc","xls"], RanName: true,

02     onIniFile: function(file){ file.value ? file.style.display ="none" : this.Folder.removeChild(file); },
' r8 `; M1 \8 F# j' x" H
6 E. G7 s' y6 e0 {0 R03     onEmpty: function(){ alert("请选择一个文件"); },

04     onLimite: function(){ alert("超过上传限制"); },
" O4 |* \( ?! I) ?) V
05     onSame: function(){ alert("已经有相同文件"); },

06     onNotExtIn: function(){ alert("只允许上传" + this.ExtIn.join("，") +"文件"); },

07     onFail: function(file){ this.Folder.removeChild(file); },

& e" m5 @: K% M6 g6 h6 O( L9 p! {08     onIni: function(){
/ \5 s& d' J1 Q2 ?
; Y/ J9 K/ @2 z# S- [" r3 y4 L" a09         //显示文件列表

; _' s( J& N( Q' h9 l/ A# h10         var arrRows = [];

11         if(this.Files.length){

12             var oThis = this;

. |0 x) U6 h1 y- P/ K; ~13             Each(this.Files, function(o){
, a- N: e0 k( q8 z2 _% K
" B! {) E. z6 N- I14                 var a = document.createElement("a"); a.innerHTML ="取消"; a.href ="javascript:void(0);";

! w7 J- k4 M$ j% q- i- E15                 a.onclick = function(){ oThis.Delete(o); return false; };
; z7 @+ C! k; J6 t5 s- o2 u
9 F" |) Q1 I: `- F: [0 l/ d. c16                 arrRows.push([o.value, a]);
- l& u6 A2 M$ G: Z* D' C2 K1 H& f
( }7 ~& m5 a% U/ S2 l$ y' t! f. T3 j6 F17             });
* ]. G5 r+ I) g6 W( V% W
6 P! Y! X6 R# X18         } else { arrRows.push(["<font color='gray'>没有添加文件</font>"," "]); }
+ _4 Q3 [1 ~, z& v$ S% C
19         AddList(arrRows);
- A: {0 G: G9 J  T% s
20         //设置按钮

; P- p' m6 c% }3 {& E' G21         $("idBtnupload").disabled = $("idBtndel").disabled = this.Files.length <= 0;

( Z5 j9 W( r  J3 g9 r22     }
6 ]# t, T2 y# {
23 });
% ]" h7 G/ r$ D3 |3 {5 O" v; Z
24   
. u; e# A8 K- I
25 $("idBtnupload").onclick = function(){
* T6 V, @3 Q9 W2 G
6 u. Y! K4 e* ~) k0 S26     //显示文件列表

* ]8 i6 r$ J& Y27     var arrRows = [];
, {# \* q0 m" Z& E& z/ I" ]: `
28     Each(fu.Files, function(o){ arrRows.push([o.value," "]); });
. @3 O. y( P, F# U6 R' z
29     AddList(arrRows);

9 O8 w( z0 G  f# n- `0 C# T30      
0 I" A/ y7 w% b! p+ m9 I
31     fu.Folder.style.display ="none";
0 [5 @+ D2 R4 o
) A$ l0 W$ Y6 i9 m32     $("idProcess").style.display ="";

4 n" G5 S1 ]0 `: H33     $("idMsg").innerHTML ="正在上传文件到服务器，请稍候……<br />有可能因为网络问题，出现程序长时间无响应，请点击“<a href='?'><font color='red'>取消</font></a>”重新上传文件";

34      
- `$ E# P7 B. H0 O2 k4 ?5 h
35     fu.Form.submit();

36 }
, p* N5 F* P( Q. n  {0 t
37   

38 //用来添加文件列表的函数
+ e& C. T4 V9 ]7 P4 I% d
# q0 S- N/ _1 o; T0 g  p9 G39 function AddList(rows){
$ y; p/ o+ x, k% R
: v5 @' \: V8 }$ _" v% l! H40     //根据数组来添加列表
' t: f0 g; f2 t0 ~
41     var FileList = $("idFileList"), oFragment = document.createDocumentFragment();

( ^! t* N% j! \9 o. `42     //用文档碎片保存列表

43     Each(rows, function(cells){

( ^" |9 E6 `! U8 x: j% Q; A44         var row = document.createElement("tr");
- H8 o! b* W, S: t0 D
4 n& U: C$ ~; F45         Each(cells, function(o){
, M; T2 J( t) I- J7 V5 m
46             var cell = document.createElement("td");
' H% S- }* \# Y6 q7 ~; Z5 E
. w( R3 m5 S2 Q1 G8 p" d9 U" Z" n47             if(typeof o =="string"){ cell.innerHTML = o; }else{ cell.appendChild(o); }
: q% x8 P; K! M9 Q$ \; ~% n: @
+ i' C( t1 n9 G& U48             row.appendChild(cell);
6 y* n  h, t7 v0 P& f6 h
49         });
- y7 h6 W$ ]9 H& o! X3 g2 u1 R
7 u) Z7 [9 p, i# r" _% [" A50         oFragment.appendChild(row);

51     })

' X: k+ ?2 Q% P! _52     //ie的table不支持innerHTML所以这样清空table
( g: L9 b6 F6 r7 p& z3 e  [; ?% o
4 K0 e5 F, z% E% E0 ^2 V53     while(FileList.hasChildNodes()){ FileList.removeChild(FileList.firstChild); }
8 K' `5 b3 w2 [$ O2 m! d
54     FileList.appendChild(oFragment);

" K; ?: y& `2 m+ M55 }
  s/ `8 l2 |# j- s, ~8 E8 Z' _7 ]  @
56   
* G2 y  j6 Q. [! `, o
57   

58 $("idLimit").innerHTML = fu.Limit;
. u/ f+ `; n+ @4 c" M
, L( y6 ^* ^$ K, p: V59   
7 L- \5 W. J/ r1 V) K+ G- R! b8 n
  m$ c; w% M  E% t60 $("idExt").innerHTML = fu.ExtIn.join("，");
! e6 F$ o+ D" w/ B9 R
# ~( G" u8 u3 l61   
4 c) B7 ^4 X9 |! b* E; }9 A
62 $("idBtndel").onclick = function(){ fu.Clear(); }
" B7 p/ ~0 u  i5 I- c' N+ N5 p
63   
4 E: ]! `; Y3 w
3 h9 |6 @9 G; M64 //在后台通过window.parent来访问主页面的函数

6 O9 r5 t4 r9 }# i4 V# H3 u65 function Finish(msg){ alert(msg); location.href = location.href; }

66   
& h3 B' [1 g0 v6 `2 l
67   </script>

( [; \* g* f& x( ^: U68   <span class="STYLE1">　<strong>　注意：</strong></span></p>

- j7 U8 }0 h+ }0 I( g69 <p class="STYLE1">　　·请选择【<strong id="idExt">rar，doc，xls</strong>】格式的文件，其他格式的文件请打包后再上传。</p>
/ c+ T  K: }! h3 _1 ~3 e# c
7 w( b1 e2 I, C1 X70 <p class="STYLE1">　　·文件名尽量详细，以方便下载。</p>
$ {+ G  j0 V3 |+ \# }
$ y- _2 @5 C2 o/ n. J- h- F71 <p class="STYLE1"> 　　·文件不能过大。 </p>

72 </body>
3 i) d7 w( y0 U& t; n
73 </html>

2 ?9 O% A& A) g; l# t