没有将文件重命名，外加本地JS验证。配合IIS6.0解析漏洞 如果是IIS7 的话用火狐

admin

漏洞出在fileload目录下的FileUpload.asp文件中，用的是无惧组建上传
. x0 {7 G' ~. e  Y  F7 l$ Z- D  i
) g% @9 C- ^& `; Q$ G* Q  

看代码

: h) b: R6 t( Y2 y' q* C8 ]
4 Q1 b( ^; V: h. f0 t  U) G0 K' t
' q& w) H2 g- J' c3 Q01 var fu = new FileUpload("uploadForm","idFile", { Limit: 3, ExtIn: ["rar","doc","xls"], RanName: true,
% L! ?4 U$ \/ r1 K$ c0 I- j# J
02     onIniFile: function(file){ file.value ? file.style.display ="none" : this.Folder.removeChild(file); },
& z1 q0 Y: m1 f/ Z% j
, R2 Q: B) `* |03     onEmpty: function(){ alert("请选择一个文件"); },
, F2 H& g1 Z, a4 c
& ~6 W% S/ ?2 J: r, J) q04     onLimite: function(){ alert("超过上传限制"); },

05     onSame: function(){ alert("已经有相同文件"); },

1 w0 Q! K1 }& q8 T7 k9 E8 s1 r06     onNotExtIn: function(){ alert("只允许上传" + this.ExtIn.join("，") +"文件"); },

+ T, Q3 Q6 t$ g, A8 \7 R: @8 D07     onFail: function(file){ this.Folder.removeChild(file); },
9 q5 X4 F6 ~3 O
08     onIni: function(){

: F' s  [9 E3 q) ^& Z09         //显示文件列表
7 V% g9 Z, a. {; S; z
3 x) B6 {5 u/ I& \+ g10         var arrRows = [];
$ M' Z% I, O+ B
  E" C" T5 l+ d3 g/ T11         if(this.Files.length){
  r+ c* S  W7 _5 i& D7 k" m: ]
12             var oThis = this;

13             Each(this.Files, function(o){
% N; N7 D0 q2 _( \) X" u
/ q' M( D- w2 q% c% C( L  d, i1 l14                 var a = document.createElement("a"); a.innerHTML ="取消"; a.href ="javascript:void(0);";
( F' I5 ]! ?% o5 u6 m
3 b- S9 W5 U; _% _3 a6 ?15                 a.onclick = function(){ oThis.Delete(o); return false; };

16                 arrRows.push([o.value, a]);

# k  V& F- D( }6 a: }17             });
3 t0 O' c' [4 N2 |# _( b- Q+ v1 k
; y1 g  G. t9 l# j18         } else { arrRows.push(["<font color='gray'>没有添加文件</font>"," "]); }

19         AddList(arrRows);

20         //设置按钮

21         $("idBtnupload").disabled = $("idBtndel").disabled = this.Files.length <= 0;
- k1 K- p9 {  w4 v" T- n4 P" E
22     }

23 });
: I, {: \7 [6 Q* U
24   
5 o) [/ @5 ]' L" h0 V% Y- u: m
7 t5 r( O  X; k5 f) B25 $("idBtnupload").onclick = function(){
! N- K8 T$ u8 o, _1 M' J; p0 |
# \) t* D  _* P7 S26     //显示文件列表
+ t3 X! w0 N! h9 C  {5 f
! u3 }" H& t* Y. |# M27     var arrRows = [];
4 V, B9 L  h& X* ]( g
- a1 o, ^  @& ~8 U% U+ f28     Each(fu.Files, function(o){ arrRows.push([o.value," "]); });

29     AddList(arrRows);

30      

4 V8 W0 L! P  D0 U- K5 e0 N' V7 y31     fu.Folder.style.display ="none";
- k6 m: O$ S4 L/ J& h& k/ b
: q: N: s7 S4 H9 I: E9 z7 y32     $("idProcess").style.display ="";

- b' |% B7 \4 |1 y33     $("idMsg").innerHTML ="正在上传文件到服务器，请稍候……<br />有可能因为网络问题，出现程序长时间无响应，请点击“<a href='?'><font color='red'>取消</font></a>”重新上传文件";
6 \; M/ m# u# W+ b4 H! D7 G
1 T  l6 v/ u! [6 M) ]34      

8 K& T4 Z/ T$ Z0 e9 f/ K4 d35     fu.Form.submit();
3 d; N! e, Q5 d9 U: u" l
36 }

: V+ w! k7 i- H& L9 G9 A$ A37   

: @) |: }' q; R9 d7 J38 //用来添加文件列表的函数

39 function AddList(rows){
( T/ Y) v1 f; k, x5 m* |" o
40     //根据数组来添加列表

( u' d  k; D& X4 d7 j' T5 I41     var FileList = $("idFileList"), oFragment = document.createDocumentFragment();
. ]" `9 y2 W, L: p# u5 H
# A. B4 W& t( F! k; F) }. `42     //用文档碎片保存列表

4 r0 x/ J# B( q# y9 ~43     Each(rows, function(cells){
& l' D6 y( k, |3 N/ p( J
4 g! N7 H/ z% n" k44         var row = document.createElement("tr");

45         Each(cells, function(o){
* B: R; v/ v- B& f9 n
46             var cell = document.createElement("td");
/ J+ a( A2 T* ?' v
47             if(typeof o =="string"){ cell.innerHTML = o; }else{ cell.appendChild(o); }

$ U$ }( ?6 \+ J% X48             row.appendChild(cell);
  h1 I% v1 P' d: x# j4 I
49         });

' ~# j$ W$ d0 q50         oFragment.appendChild(row);
  M. Q; ]! O8 f# I# ~, U4 V
51     })

& {1 N2 M6 L' l. t3 `1 R3 o! Q52     //ie的table不支持innerHTML所以这样清空table
* j4 \% w- o+ c
) B0 _5 p3 Z' n% z+ O4 _53     while(FileList.hasChildNodes()){ FileList.removeChild(FileList.firstChild); }

: q0 x; x. T' x( k9 d" d54     FileList.appendChild(oFragment);

55 }
4 a2 V; M3 M' I  d
1 z0 c; @$ i- P. Z  n56   

57   
$ M" ?; |; |6 F
( ^/ r% `: L7 ]4 s1 F6 ]7 F58 $("idLimit").innerHTML = fu.Limit;

, w! ?: D& i9 S$ B59   
$ R. ?$ o( F* {, I9 b6 T
60 $("idExt").innerHTML = fu.ExtIn.join("，");

61   
" E5 O; d' p4 J7 ~. G. Q: z
) Q4 a1 X9 |" {$ `& P& h6 x0 E9 e62 $("idBtndel").onclick = function(){ fu.Clear(); }
) U% [- ^( b, l* j* x5 x7 X, l
$ _  n3 B7 N% c; z63   
) o* m" V3 q# r& P9 s
0 w  R( f/ e5 s5 F% f. m64 //在后台通过window.parent来访问主页面的函数
. X7 S) h; V5 \, n% [7 T+ U
65 function Finish(msg){ alert(msg); location.href = location.href; }
' l) n* b3 }4 R5 v5 _* H7 H/ V
* Q6 f$ C6 C9 `66   

67   </script>

6 d; J, M: Q0 B' P68   <span class="STYLE1">　<strong>　注意：</strong></span></p>
* D6 b& W) f3 P3 V7 {- H8 |" M; ]+ f: y
2 ^$ M7 k! y6 z7 m9 T  L) J69 <p class="STYLE1">　　·请选择【<strong id="idExt">rar，doc，xls</strong>】格式的文件，其他格式的文件请打包后再上传。</p>
# H# {' x3 o3 z0 r2 w
70 <p class="STYLE1">　　·文件名尽量详细，以方便下载。</p>
' |' X  e9 m2 R: f* E
71 <p class="STYLE1"> 　　·文件不能过大。 </p>

3 [% p- F9 }' d# l* B1 ^72 </body>
  V  q$ X2 D5 Z! @+ C, M
73 </html>

; U* y) o$ {, M' e4 O