没有将文件重命名，外加本地JS验证。配合IIS6.0解析漏洞 如果是IIS7 的话用火狐

admin

漏洞出在fileload目录下的FileUpload.asp文件中，用的是无惧组建上传

  

' y" e5 d9 t- W+ |. c8 C. ^6 y看代码
0 Q& j) X; M/ u" _9 v1 G& i
- P( n, X% ^& T+ G. P; \& m
' d4 O( ^) [/ _% C$ b* |/ Q% S
/ d; f8 M! g7 {/ R01 var fu = new FileUpload("uploadForm","idFile", { Limit: 3, ExtIn: ["rar","doc","xls"], RanName: true,

02     onIniFile: function(file){ file.value ? file.style.display ="none" : this.Folder.removeChild(file); },

! V7 E5 m8 x8 g03     onEmpty: function(){ alert("请选择一个文件"); },
1 j( ?6 s) k  X: |! \- m9 H
04     onLimite: function(){ alert("超过上传限制"); },

05     onSame: function(){ alert("已经有相同文件"); },
- c+ S8 g' }' C) I% q" ?3 b, O
06     onNotExtIn: function(){ alert("只允许上传" + this.ExtIn.join("，") +"文件"); },

07     onFail: function(file){ this.Folder.removeChild(file); },
; n4 }% u  t" v- f  a
% L3 b6 `3 ?  w. Y- \3 E. j: Z08     onIni: function(){
* ]" R, W6 G0 m6 ]. Z. A* n
" _; Z7 ~2 |/ g4 u  P* @; C09         //显示文件列表
' ]: c, u( Z5 `
10         var arrRows = [];

! }  f) Q4 A5 s: I$ E' b2 W8 p4 D11         if(this.Files.length){

4 P* C; k" _0 h( G7 K12             var oThis = this;

13             Each(this.Files, function(o){
; W3 e+ @  F0 T" G
14                 var a = document.createElement("a"); a.innerHTML ="取消"; a.href ="javascript:void(0);";

5 c: M. ]+ X6 ]) \# l2 ]15                 a.onclick = function(){ oThis.Delete(o); return false; };
" l0 |* X+ O- w- z( ~$ y
* s5 A& Q* n9 {+ b' a16                 arrRows.push([o.value, a]);
6 Q' }- Y1 e- Q; a3 w
) H9 m0 m! Z: Z8 r) w) y8 [17             });

18         } else { arrRows.push(["<font color='gray'>没有添加文件</font>"," "]); }
, j8 ?+ u9 ~( N: s- ?" w% K* Q
. \2 l7 [# |4 l3 w' u: N19         AddList(arrRows);
( o' ^" y4 Q3 Y% c6 T. ]: z
20         //设置按钮

21         $("idBtnupload").disabled = $("idBtndel").disabled = this.Files.length <= 0;
) T% Z% q, \; l, {" j
22     }

23 });

# O- ]7 Q: P- ^! t24   

1 ^6 Q, e4 U7 a9 d25 $("idBtnupload").onclick = function(){

26     //显示文件列表
- E; {! Y7 _* V, c
27     var arrRows = [];

' i3 s: ^- _* c5 ]; n28     Each(fu.Files, function(o){ arrRows.push([o.value," "]); });
8 E; K6 e& {' |) U. ?) d, f0 V  j
6 y0 j# l$ y- o0 Q" H4 B2 M29     AddList(arrRows);
- \7 ~) e3 Q# w  a0 Y: l2 H
1 Q  x/ H6 Z5 R/ X. r* S30      

* H6 V6 j7 I! O( F) U: C2 {31     fu.Folder.style.display ="none";
5 X1 J8 c4 O  {4 y; P
32     $("idProcess").style.display ="";
+ o- y3 ]& F2 y! x$ x3 E3 Q  a' Y
33     $("idMsg").innerHTML ="正在上传文件到服务器，请稍候……<br />有可能因为网络问题，出现程序长时间无响应，请点击“<a href='?'><font color='red'>取消</font></a>”重新上传文件";

34      
7 U, {/ m3 U* F0 |7 C
+ Q. q# Z( p) b+ u6 U35     fu.Form.submit();
/ ?( @9 ^, i+ n
36 }
3 t$ [; f2 x9 i4 v2 k+ S
37   
0 ^" K3 C. A7 S
# J8 {+ H* V4 h3 ]& \5 r2 w38 //用来添加文件列表的函数
, G$ Z9 O3 i2 U0 k, `3 O% w
39 function AddList(rows){

40     //根据数组来添加列表

: Z. x' g2 A+ f& ~+ [, n8 m- V41     var FileList = $("idFileList"), oFragment = document.createDocumentFragment();
' {7 k9 \$ p# p# L0 ?6 _
42     //用文档碎片保存列表
% T2 l7 w" |  M% s* U& I
. ]4 |, R' l- v* R  n43     Each(rows, function(cells){
5 ^2 _4 {; o. s
44         var row = document.createElement("tr");

45         Each(cells, function(o){
; }9 v/ B6 c  A% r, t
46             var cell = document.createElement("td");
9 f- K3 ]" _/ i1 a& o% D
47             if(typeof o =="string"){ cell.innerHTML = o; }else{ cell.appendChild(o); }

+ k) ?8 m9 x' [2 A48             row.appendChild(cell);

6 k, n0 W# P) j* @49         });

% d& X3 z2 W) T3 }4 [2 M50         oFragment.appendChild(row);

51     })
$ V+ U0 P) k; w$ l- \7 b4 y
52     //ie的table不支持innerHTML所以这样清空table

- R1 y0 ]0 [% v0 L1 b0 y53     while(FileList.hasChildNodes()){ FileList.removeChild(FileList.firstChild); }
6 r$ c3 B; ^' ~. ~
54     FileList.appendChild(oFragment);
( A1 V1 L& W$ }& ?0 v
5 g# L2 K/ l" N+ a0 L& m55 }
2 s0 S; c- o% P4 c$ T
& J% |# |+ Y% r  |  M4 ]- u, O56   

57   

58 $("idLimit").innerHTML = fu.Limit;

59   
' X) v' Q! `1 d% {+ |
60 $("idExt").innerHTML = fu.ExtIn.join("，");

61   
! \1 p1 x( H4 @. N( p1 f
62 $("idBtndel").onclick = function(){ fu.Clear(); }
! Y% l$ x3 Q/ p9 R' I( h: p
7 {" T6 D8 i# e  L0 n' s- P63   
! a! B, r- b/ W$ M) x' N, e
3 B4 z: Q4 C7 U1 a! S& }- P3 ]64 //在后台通过window.parent来访问主页面的函数

6 n7 L6 R$ B4 i% V( @1 L3 g65 function Finish(msg){ alert(msg); location.href = location.href; }
1 g8 F5 [! }$ F2 O
( m% ~( m0 _" f* C+ o  }66   
( A9 Q, [; b& h
67   </script>
3 r0 H6 i+ v1 L: @
68   <span class="STYLE1">　<strong>　注意：</strong></span></p>

1 W/ }8 ~1 A- h% ^3 i- E69 <p class="STYLE1">　　·请选择【<strong id="idExt">rar，doc，xls</strong>】格式的文件，其他格式的文件请打包后再上传。</p>
  _6 F* R$ a/ \
, H' Z, n0 P* y, x% h% V3 T6 S70 <p class="STYLE1">　　·文件名尽量详细，以方便下载。</p>
' h. A* S  ~2 m- r$ n
. m4 y4 `5 I5 N& W( g' h) I/ E71 <p class="STYLE1"> 　　·文件不能过大。 </p>
& r1 q! h+ ~; b% o  R1 X0 P/ H$ H) l
72 </body>
  {9 J& j# Q" w9 T& a* D$ J
73 </html>
. S  [3 D  I5 n' X