没有将文件重命名，外加本地JS验证。配合IIS6.0解析漏洞 如果是IIS7 的话用火狐

admin

漏洞出在fileload目录下的FileUpload.asp文件中，用的是无惧组建上传
3 X) s8 W8 o( c0 g7 D7 a; b
+ E. u' w/ g, [7 o( _$ L- G2 P' K  
8 g" ?) Y( y. `
. r$ }; g, E: z看代码


: E/ y! p1 i+ m0 l! ]
+ I6 L* p$ o  o: w! N# B# a01 var fu = new FileUpload("uploadForm","idFile", { Limit: 3, ExtIn: ["rar","doc","xls"], RanName: true,

02     onIniFile: function(file){ file.value ? file.style.display ="none" : this.Folder.removeChild(file); },

03     onEmpty: function(){ alert("请选择一个文件"); },
& w% |1 Y& R$ ]$ D+ h5 a, x+ A; ~% n; X0 b
6 A) t! x% r6 _6 |. Q5 a04     onLimite: function(){ alert("超过上传限制"); },

- K0 c. Y2 f- K/ H1 ~* L3 L0 j05     onSame: function(){ alert("已经有相同文件"); },

7 L! k- F5 z4 F5 R: M8 ]5 P) t06     onNotExtIn: function(){ alert("只允许上传" + this.ExtIn.join("，") +"文件"); },

07     onFail: function(file){ this.Folder.removeChild(file); },

08     onIni: function(){
* L2 t2 ?2 B0 P+ C
09         //显示文件列表

, e- s, X5 x9 @- V# l10         var arrRows = [];
$ J) b" k! X2 U3 M
11         if(this.Files.length){

12             var oThis = this;

& M& W5 F5 b; }0 {2 N( R7 K6 K13             Each(this.Files, function(o){

# e+ }- D) Q# m% r/ U" ?14                 var a = document.createElement("a"); a.innerHTML ="取消"; a.href ="javascript:void(0);";

) i) R0 l4 }, B0 d" c# r& P15                 a.onclick = function(){ oThis.Delete(o); return false; };

16                 arrRows.push([o.value, a]);

17             });
  p2 X- a( ^2 ~
18         } else { arrRows.push(["<font color='gray'>没有添加文件</font>"," "]); }
, v- I% [# B7 r/ e
  f# i' v8 L. i" x19         AddList(arrRows);

20         //设置按钮
8 s- I: i- D/ ]* m& N
% M( S9 q: W1 C) z3 i9 X$ C' p! U6 w21         $("idBtnupload").disabled = $("idBtndel").disabled = this.Files.length <= 0;

22     }
& V. l7 p4 u' i6 M+ L% h
8 q; j% P, {, T$ ?0 H2 P; r9 O) }23 });

24   
9 e% x1 [  l4 {, {* I6 t( |
25 $("idBtnupload").onclick = function(){
0 i* U2 l' _+ z
26     //显示文件列表
4 ~1 L' z- R3 L/ p8 S: Q
27     var arrRows = [];
+ I: H' H4 _/ I, i3 s
28     Each(fu.Files, function(o){ arrRows.push([o.value," "]); });
# K8 F' Z! v2 W
9 c: G0 e! f7 v" M) l" R8 G1 \# J+ x29     AddList(arrRows);

30      
0 j% P1 Q" o( J) ?+ `0 e
31     fu.Folder.style.display ="none";

32     $("idProcess").style.display ="";
. v- l- q. u+ ?5 O+ ~; R
33     $("idMsg").innerHTML ="正在上传文件到服务器，请稍候……<br />有可能因为网络问题，出现程序长时间无响应，请点击“<a href='?'><font color='red'>取消</font></a>”重新上传文件";

34      

; K5 F- [- e8 t4 k6 j+ _35     fu.Form.submit();
. B- l% K2 x% h4 \
. u% \! x5 i% W0 U36 }

; s' S# `% Y. o/ }5 d/ |37   
) s2 l( R1 Y8 i  n( l, d% V
7 w5 c; X1 P5 k- s8 H- K7 X% p; f38 //用来添加文件列表的函数

" ?; D; B8 j; Z: B: b& ]+ i39 function AddList(rows){

40     //根据数组来添加列表
* I8 M, ^; N% {6 W5 ~, o
41     var FileList = $("idFileList"), oFragment = document.createDocumentFragment();
7 l- W, [8 i+ Z
0 u. J, @! j; F9 K) R9 w0 F42     //用文档碎片保存列表

% J, V: a; T$ n43     Each(rows, function(cells){

3 [; }; \3 T# _! t) F. t! L1 M, }9 Q44         var row = document.createElement("tr");

45         Each(cells, function(o){

46             var cell = document.createElement("td");

47             if(typeof o =="string"){ cell.innerHTML = o; }else{ cell.appendChild(o); }
. g, `. A( i0 o) S7 ]) e9 u
+ i; R" C- [9 ~7 g) I8 e) W48             row.appendChild(cell);
6 @% H4 ~1 C9 o3 ]0 m
( L/ Z0 l9 Z, y* Z5 A0 p9 V49         });
3 w! j% H  t$ |  }
" S& F. s9 k6 ^# F2 |; L! i+ Y( S50         oFragment.appendChild(row);

51     })

9 E3 Z: @9 [4 _- W; @# }52     //ie的table不支持innerHTML所以这样清空table
+ u& C9 T; K4 t: J5 J' @
53     while(FileList.hasChildNodes()){ FileList.removeChild(FileList.firstChild); }

  t5 Y! H$ r- B* N" Z54     FileList.appendChild(oFragment);

" z0 r' Q* G* Y, ^' B9 h& K, r! q55 }
+ I) e& \5 Q: T% M; t: u( y4 N0 M
56   

57   

* r- y  o% S& l0 j% b+ J; F/ W58 $("idLimit").innerHTML = fu.Limit;
2 a: P( B; s0 J/ ~/ Q2 M0 n( y
59   
4 Y  I. c" ?  L2 V" g8 @" Q
60 $("idExt").innerHTML = fu.ExtIn.join("，");

+ l) `1 P7 q! c$ h: \, F  R61   

9 N" t: j# X' [6 [3 K( J62 $("idBtndel").onclick = function(){ fu.Clear(); }
5 v5 ^& }2 Q6 l) U8 P
63   

0 z. v' L# S! d) W& T8 d64 //在后台通过window.parent来访问主页面的函数
" g$ d" m. s& T- L
65 function Finish(msg){ alert(msg); location.href = location.href; }

( ]& F4 @% C4 r$ X# T66   

) S( n# D/ Q: \! D67   </script>

68   <span class="STYLE1">　<strong>　注意：</strong></span></p>
9 `/ F. C, D# r3 x4 ?
69 <p class="STYLE1">　　·请选择【<strong id="idExt">rar，doc，xls</strong>】格式的文件，其他格式的文件请打包后再上传。</p>
" Q; B" s: w" L2 d+ s
70 <p class="STYLE1">　　·文件名尽量详细，以方便下载。</p>
: d. \- a! h4 w8 y# L
  E" F2 x9 l! `/ N" N71 <p class="STYLE1"> 　　·文件不能过大。 </p>

72 </body>
. w9 q* X0 q8 g# t# E
* ~0 F( |% v& K5 I- e5 h73 </html>