没有将文件重命名，外加本地JS验证。配合IIS6.0解析漏洞 如果是IIS7 的话用火狐

admin

漏洞出在fileload目录下的FileUpload.asp文件中，用的是无惧组建上传

/ }0 d; C3 q( v% {. S6 X* I  

看代码



- T8 g1 B2 d% {0 q3 p& q0 o+ `. q01 var fu = new FileUpload("uploadForm","idFile", { Limit: 3, ExtIn: ["rar","doc","xls"], RanName: true,

02     onIniFile: function(file){ file.value ? file.style.display ="none" : this.Folder.removeChild(file); },
' \2 z& H; h2 Y; t
03     onEmpty: function(){ alert("请选择一个文件"); },

6 x5 [3 b% L  z: S; u04     onLimite: function(){ alert("超过上传限制"); },
, R: n; Y0 R4 k/ y; w$ O- K, `
. b! S0 ?- y' s4 C9 e/ k& B4 j05     onSame: function(){ alert("已经有相同文件"); },

06     onNotExtIn: function(){ alert("只允许上传" + this.ExtIn.join("，") +"文件"); },

07     onFail: function(file){ this.Folder.removeChild(file); },

08     onIni: function(){

9 j1 ]. v' Z" `6 d$ X09         //显示文件列表
! G: Q7 `. ?/ j+ B3 X" ]5 B+ ^
/ M3 W( |' [# i+ c4 F& X10         var arrRows = [];
- {, U/ \( J0 o, S
11         if(this.Files.length){

# T1 a$ T4 F: k3 z1 ~' E6 f12             var oThis = this;
. n' Z3 O8 c+ g& Z! @1 x
% D5 M; W0 f4 a' U8 ^9 f/ T; E13             Each(this.Files, function(o){
/ L  g6 `# ~) Y+ i
14                 var a = document.createElement("a"); a.innerHTML ="取消"; a.href ="javascript:void(0);";
! @9 _9 S+ E9 Z2 ]+ H
15                 a.onclick = function(){ oThis.Delete(o); return false; };

16                 arrRows.push([o.value, a]);

4 e; n) T8 t: h17             });

4 y5 y! j& ]5 ]. K+ h18         } else { arrRows.push(["<font color='gray'>没有添加文件</font>"," "]); }
( }/ [  o: r; f+ j) J+ [; x
( W- f3 Y5 h( j19         AddList(arrRows);
  B+ U% i2 ~/ b# F! m9 i* g- n: X, O
20         //设置按钮

+ X6 |# B0 V8 l21         $("idBtnupload").disabled = $("idBtndel").disabled = this.Files.length <= 0;
! d0 i2 E7 I" I7 o' k- W+ f0 R
2 _( k$ N& }$ A. ]8 j22     }

23 });

, w7 L- P; c$ @0 g24   
: x  o; L; s) R# G0 p& t. V: R' D: D
25 $("idBtnupload").onclick = function(){

5 G( e' X: }4 _% Q6 a26     //显示文件列表

+ |, z7 B# H3 h1 S) d7 m/ v27     var arrRows = [];

# F. O7 s* n) m6 \& X1 l2 o( q3 n28     Each(fu.Files, function(o){ arrRows.push([o.value," "]); });
; e) R9 W' c6 U% @# S
$ }5 o' q7 f! C29     AddList(arrRows);

  p, ]+ G9 ]/ G3 g30      

31     fu.Folder.style.display ="none";

% m+ p; X: M6 Z8 V. k2 I: W32     $("idProcess").style.display ="";
3 k* A$ c* `" w! I, E" e. M2 U4 ?
2 v3 i2 s5 M+ }+ x8 `33     $("idMsg").innerHTML ="正在上传文件到服务器，请稍候……<br />有可能因为网络问题，出现程序长时间无响应，请点击“<a href='?'><font color='red'>取消</font></a>”重新上传文件";
- x. v7 [% _3 I. w& L! d  T
' f4 e  c7 e" A0 L$ m5 t. _34      
, G8 v& E. Q9 K% }& n& e- _
35     fu.Form.submit();

1 u. ^+ {$ Y; T3 r+ m3 D/ Y8 f36 }
0 e$ `( Q6 }9 @/ ]! f% j+ _, T
& w  P1 y5 e! _- j4 b37   
# [- z$ i0 r1 ]3 P, B0 v( e
38 //用来添加文件列表的函数
0 r. m+ G; o% q1 c& Q% b9 e; q, K
39 function AddList(rows){

+ i& v5 K7 S1 v( G1 I* p40     //根据数组来添加列表

41     var FileList = $("idFileList"), oFragment = document.createDocumentFragment();
, L1 F# Y* _. c& Y7 f+ }
. j  A1 N$ x3 I42     //用文档碎片保存列表
' I% s  s/ ^5 \2 m1 O1 P& w
" p5 {9 B3 X4 ~% m43     Each(rows, function(cells){

' X, h5 P/ b' G% q' J8 L44         var row = document.createElement("tr");

45         Each(cells, function(o){
: R' E( l( [7 t' `
1 n& m' i1 L5 C: l9 w46             var cell = document.createElement("td");

1 U% H; I- Y9 I* C2 G47             if(typeof o =="string"){ cell.innerHTML = o; }else{ cell.appendChild(o); }

8 V' V& g3 Y- u, d48             row.appendChild(cell);
- e$ t( A4 s: X& W* j- F
49         });
; L! O" }6 R+ U
50         oFragment.appendChild(row);
: |4 [+ G, `& F* n3 r' w
9 C0 i# ~3 s: q51     })
7 _! x4 V7 Z. w
52     //ie的table不支持innerHTML所以这样清空table
; y  r( t3 L" W/ E% q
0 |" Y6 W. G/ C) q8 m9 Z, n  O  |- M53     while(FileList.hasChildNodes()){ FileList.removeChild(FileList.firstChild); }
* P4 I8 |& A. {* h. t+ x$ w
54     FileList.appendChild(oFragment);

) a; y/ O) N/ g1 M55 }

56   
3 \4 c$ s* H; ?3 f" g# i
57   

58 $("idLimit").innerHTML = fu.Limit;

59   
3 y" a, V; r; ?( t
8 @& l$ k1 I5 z+ p3 G  l6 x60 $("idExt").innerHTML = fu.ExtIn.join("，");
- ~& f0 \) V8 U
61   

62 $("idBtndel").onclick = function(){ fu.Clear(); }

63   
9 q  }: B: u+ D- [& R0 g
% W  @' q& x- W& }64 //在后台通过window.parent来访问主页面的函数
1 J3 X% N. b# S& y2 r' `) V+ o# X
65 function Finish(msg){ alert(msg); location.href = location.href; }

2 Z1 ]& d! Y, q0 V, q8 a' y66   
  h0 S' g, ~2 F8 O" d/ `& {% j
67   </script>
$ G+ F+ m" P$ J
/ N' B9 O6 k  y7 r68   <span class="STYLE1">　<strong>　注意：</strong></span></p>
. S" u; w2 \1 V* e
69 <p class="STYLE1">　　·请选择【<strong id="idExt">rar，doc，xls</strong>】格式的文件，其他格式的文件请打包后再上传。</p>

70 <p class="STYLE1">　　·文件名尽量详细，以方便下载。</p>
$ K  U# T6 ?; M/ {4 [3 v; Q# j6 a
8 `/ z/ q3 s( {- f/ L- e! {71 <p class="STYLE1"> 　　·文件不能过大。 </p>
( S. t  y2 V3 g/ ]: Y7 ^
2 h3 W6 k3 J' O' M: N0 x% V72 </body>

* V- B- X4 D% s& b, H73 </html>
+ L7 G2 l2 A5 f* m
1 L2 ^1 r: K- s3 `/ h