没有将文件重命名，外加本地JS验证。配合IIS6.0解析漏洞 如果是IIS7 的话用火狐

admin

漏洞出在fileload目录下的FileUpload.asp文件中，用的是无惧组建上传

  

* R  z4 K. M, a) Y9 O) [/ D. ]看代码
$ _" G( b1 S4 p9 f. \7 A" w
  O. n9 p7 y) S8 w8 w0 |
7 |: _1 {1 ]& y. G5 Z* {& ~
; b6 {  }& n8 W% q6 Z% t) q01 var fu = new FileUpload("uploadForm","idFile", { Limit: 3, ExtIn: ["rar","doc","xls"], RanName: true,
6 V1 }6 X4 g# h
  `- x; K* P: D6 w/ p2 H02     onIniFile: function(file){ file.value ? file.style.display ="none" : this.Folder.removeChild(file); },

03     onEmpty: function(){ alert("请选择一个文件"); },

04     onLimite: function(){ alert("超过上传限制"); },
) u% L& h. `" a5 j
7 ?; U) W7 A5 g& [. M) X3 H) |05     onSame: function(){ alert("已经有相同文件"); },

# `8 ~0 R% ]! d. L8 {$ e06     onNotExtIn: function(){ alert("只允许上传" + this.ExtIn.join("，") +"文件"); },
6 h4 a$ D, p# [* F6 f/ }
07     onFail: function(file){ this.Folder.removeChild(file); },
9 j, q# d2 L4 M
08     onIni: function(){

09         //显示文件列表

10         var arrRows = [];

11         if(this.Files.length){
/ M/ |4 n( e4 E) M& B  h6 s* {
3 |/ j* n" r9 G0 B& E7 X2 N: _12             var oThis = this;

7 n0 i0 i) M9 d13             Each(this.Files, function(o){

14                 var a = document.createElement("a"); a.innerHTML ="取消"; a.href ="javascript:void(0);";

/ T6 O1 b% e) ~15                 a.onclick = function(){ oThis.Delete(o); return false; };
9 z1 G# B4 s* ?/ D- N4 i
& X% _3 {7 C: Z* J9 W% o2 c16                 arrRows.push([o.value, a]);
% ]/ W  {! x' I( Z# F
4 G9 q' q. X  D+ s17             });
( P; G8 Q: ]) G
18         } else { arrRows.push(["<font color='gray'>没有添加文件</font>"," "]); }
  v4 ]6 Z5 B: h- q8 x
% F+ k, f6 x. P7 \* Z, M1 N19         AddList(arrRows);

- q: ~. N+ @6 P20         //设置按钮

21         $("idBtnupload").disabled = $("idBtndel").disabled = this.Files.length <= 0;

/ u( h9 @! g: n# ~/ ]' A* P22     }

  o3 ~) u2 S& d" w) G' Q) R; O& K/ F23 });

24   

25 $("idBtnupload").onclick = function(){

. |5 ^2 N3 J7 t26     //显示文件列表
  l/ ]$ v. h" n$ L# ^; M
27     var arrRows = [];

28     Each(fu.Files, function(o){ arrRows.push([o.value," "]); });
" `9 Q8 X- t4 I+ x4 B& Q' @
+ q* v& |: ~8 S; A( `! N; N29     AddList(arrRows);

30      

: y  P/ N: u) t! ?31     fu.Folder.style.display ="none";

5 W  S% |( Y6 C2 [( [  ^( L- T32     $("idProcess").style.display ="";

33     $("idMsg").innerHTML ="正在上传文件到服务器，请稍候……<br />有可能因为网络问题，出现程序长时间无响应，请点击“<a href='?'><font color='red'>取消</font></a>”重新上传文件";

4 X8 ?+ q/ b% ]/ t$ [34      

35     fu.Form.submit();

) h/ }8 _5 `+ H36 }
7 u) y7 W  Y2 P" d7 x4 G. f  g
37   

38 //用来添加文件列表的函数

39 function AddList(rows){
: j& n% d9 P. ]: Z, I, P
40     //根据数组来添加列表
. I. K- h4 P  s: Q, b# g8 l. h1 I
1 F9 O- f8 [6 H8 ?0 L3 g- S/ u* a41     var FileList = $("idFileList"), oFragment = document.createDocumentFragment();

42     //用文档碎片保存列表
; f3 C6 X1 v" `9 n4 {) [1 w6 g
( v' a4 P  V  g$ \1 V8 g- \43     Each(rows, function(cells){
8 ^+ v7 `9 f. {  ^. F; _# c  [
44         var row = document.createElement("tr");

+ r  K2 d9 J+ ?* ~45         Each(cells, function(o){

46             var cell = document.createElement("td");

. Z/ U( R4 A2 P0 K4 y47             if(typeof o =="string"){ cell.innerHTML = o; }else{ cell.appendChild(o); }

48             row.appendChild(cell);

49         });
2 \* s" ~. R8 Q0 t
50         oFragment.appendChild(row);

51     })

9 `. y' m* S6 S! P# A5 F/ Y52     //ie的table不支持innerHTML所以这样清空table

* B; x  r2 W' \' q8 N, q4 n53     while(FileList.hasChildNodes()){ FileList.removeChild(FileList.firstChild); }
1 [+ D/ x' R( k% i$ F' `; B
54     FileList.appendChild(oFragment);

55 }

56   

; k' @; K$ m: V57   

% h& t; F) w% I; h* y% {/ c8 q58 $("idLimit").innerHTML = fu.Limit;
3 R4 _4 Z) p/ ~
59   

60 $("idExt").innerHTML = fu.ExtIn.join("，");
0 ?6 A  ]' y1 `7 s6 I" L- f3 V
61   
" a, v7 W0 |4 b% `& d! L. W
62 $("idBtndel").onclick = function(){ fu.Clear(); }

; J7 ^: ?/ U) l$ d6 I: l63   

, N! `9 Z' t( b3 C4 c64 //在后台通过window.parent来访问主页面的函数
- R0 c" n) p- e- o% A
; v9 I0 M" i, N4 W9 Y  z65 function Finish(msg){ alert(msg); location.href = location.href; }
5 I2 E7 G7 ]4 N
. @+ W. L7 S7 C$ m66   
) _8 b: [* t1 Y" a; P7 c
. }# o2 k  o% }- o! M67   </script>
6 _4 U2 A( S% q+ [
0 Z. T4 ~& `' M7 N1 h# l* w) L$ ?68   <span class="STYLE1">　<strong>　注意：</strong></span></p>

/ M( S! O7 o' J- n6 {; t. z69 <p class="STYLE1">　　·请选择【<strong id="idExt">rar，doc，xls</strong>】格式的文件，其他格式的文件请打包后再上传。</p>
$ {# w: j1 J' k8 M) v; I* `* Y
  q+ c' _6 J$ ~3 H) d70 <p class="STYLE1">　　·文件名尽量详细，以方便下载。</p>

4 `7 d' r" \2 s71 <p class="STYLE1"> 　　·文件不能过大。 </p>
7 N2 f9 w+ S- j
& o  f3 s3 V! B6 M72 </body>
7 n0 p! z, K5 q" J$ D
1 p. \# m% j% y2 a$ _9 w73 </html>

5 ?! X( g/ S8 @% t