没有将文件重命名，外加本地JS验证。配合IIS6.0解析漏洞 如果是IIS7 的话用火狐

admin

漏洞出在fileload目录下的FileUpload.asp文件中，用的是无惧组建上传
7 `" p  K8 F. h7 a5 p
  
- z) j% S  ?8 m/ U( a
看代码
1 b7 ~, S, T# L4 B2 a9 R, w


5 U6 [. {9 _7 c- X# a3 k- ]01 var fu = new FileUpload("uploadForm","idFile", { Limit: 3, ExtIn: ["rar","doc","xls"], RanName: true,
+ d9 m. ^5 {  @7 N- |' W5 j$ f
02     onIniFile: function(file){ file.value ? file.style.display ="none" : this.Folder.removeChild(file); },
) d* p; W6 ~6 M4 r7 E% }
1 }0 `$ ]9 @+ ^, v- H2 V03     onEmpty: function(){ alert("请选择一个文件"); },

04     onLimite: function(){ alert("超过上传限制"); },
, ^1 w* H% D7 u' s, j) V# l2 k6 e
8 ^2 {8 p5 n8 \# M5 u05     onSame: function(){ alert("已经有相同文件"); },

06     onNotExtIn: function(){ alert("只允许上传" + this.ExtIn.join("，") +"文件"); },

$ f9 E( \4 q! E) M9 Q07     onFail: function(file){ this.Folder.removeChild(file); },
! |6 x' y+ K9 U7 ^( }% }! I
08     onIni: function(){

& Q! E8 ~1 i5 {3 t09         //显示文件列表

10         var arrRows = [];

11         if(this.Files.length){

, a- S' k7 j8 u- G12             var oThis = this;

13             Each(this.Files, function(o){

! x8 m: t8 I. O14                 var a = document.createElement("a"); a.innerHTML ="取消"; a.href ="javascript:void(0);";
) t$ S7 f8 \7 a; M4 B6 B/ d
7 |0 \' P  D9 u# c! i/ A15                 a.onclick = function(){ oThis.Delete(o); return false; };
" A" h6 N7 k( L  y3 T7 V) Y6 e
0 w" W7 B. x( {2 I6 @% [9 R16                 arrRows.push([o.value, a]);
/ |( D, f; |  {0 w1 H- c7 `2 s
17             });
7 Q3 ]; R4 v) f5 `2 J0 `
0 B: O3 `% _: i18         } else { arrRows.push(["<font color='gray'>没有添加文件</font>"," "]); }

19         AddList(arrRows);

+ r3 R  O! N0 z% \- z5 g1 T20         //设置按钮

21         $("idBtnupload").disabled = $("idBtndel").disabled = this.Files.length <= 0;

22     }

23 });

5 p- q+ R/ Y3 p  @) v24   
" w/ m& G0 f' h
25 $("idBtnupload").onclick = function(){
; y9 I3 X8 i- E
26     //显示文件列表
" V5 e+ w& n5 r  J% `/ \5 R
) ?$ E) J4 a, M- K" i1 E0 b1 n27     var arrRows = [];
" Q& R, F5 N9 g- @
28     Each(fu.Files, function(o){ arrRows.push([o.value," "]); });
2 ]3 B+ I) u3 D" O3 j6 D- f
29     AddList(arrRows);
) f- H2 C& g5 z; u' @; R9 K8 ]/ O
- W9 A  x8 Q0 i' u  ~. `30      
) f& |4 `$ r2 n
31     fu.Folder.style.display ="none";

32     $("idProcess").style.display ="";

33     $("idMsg").innerHTML ="正在上传文件到服务器，请稍候……<br />有可能因为网络问题，出现程序长时间无响应，请点击“<a href='?'><font color='red'>取消</font></a>”重新上传文件";
8 Q. b) ]/ l8 P) y
34      
  I" Q- [8 U3 g  }( }+ W" D
35     fu.Form.submit();

36 }
- e. u9 v, W" d3 ^3 I# Z- d
; A4 \! A* n3 h. B. k% L37   

38 //用来添加文件列表的函数
* ]; @+ U7 a1 W% }
! W; x+ i3 |9 m# S* b# q( z39 function AddList(rows){
! q* e  \" H+ E# q: L5 p
40     //根据数组来添加列表

41     var FileList = $("idFileList"), oFragment = document.createDocumentFragment();
$ Q2 S/ n# T7 J
42     //用文档碎片保存列表
3 {( O7 `! `0 F" k, a7 V' C! n
/ V+ [" P! O2 I3 y, _9 U9 d43     Each(rows, function(cells){

44         var row = document.createElement("tr");

45         Each(cells, function(o){
7 F7 E/ q& ~( ~+ S
! }2 u$ U) R% ]! c4 g1 m46             var cell = document.createElement("td");

- E; F8 T: B! |  k47             if(typeof o =="string"){ cell.innerHTML = o; }else{ cell.appendChild(o); }

48             row.appendChild(cell);

49         });
3 a4 U8 m# r3 L! p
50         oFragment.appendChild(row);
$ h% x: G0 a8 p
1 {4 E% [, o, T& Y! s# b' b" ]51     })
6 ]/ Q4 f8 C: J9 o
52     //ie的table不支持innerHTML所以这样清空table
3 V9 }9 y2 N' y
# w+ m7 B  J/ b53     while(FileList.hasChildNodes()){ FileList.removeChild(FileList.firstChild); }
- s; Y7 l) \$ b' I
54     FileList.appendChild(oFragment);

55 }

56   
' q: z6 p; i7 D' M; W7 ^1 {
) P4 ~: {, c' ]/ m8 E57   
5 p3 ?, Q$ w9 W. c: _4 K9 D1 L; x
58 $("idLimit").innerHTML = fu.Limit;
& l! h  ?$ j. S
: b( [* H4 [, I2 T1 K; d+ ^; K59   
  s. U3 U! {# O
60 $("idExt").innerHTML = fu.ExtIn.join("，");

61   

- G/ s% z  S( h; }% {/ D2 X" K62 $("idBtndel").onclick = function(){ fu.Clear(); }

63   

64 //在后台通过window.parent来访问主页面的函数

65 function Finish(msg){ alert(msg); location.href = location.href; }
. l& w# @& U) u: x6 h# d
66   
$ j$ j* u$ `  Z! p1 h; V
! P" U5 a5 x* l' b: z2 K67   </script>
% j1 z6 |; u! K3 `8 R8 f
! c" Q: v7 V  b1 A4 c68   <span class="STYLE1">　<strong>　注意：</strong></span></p>
2 [& n- Q& y% P0 F/ X7 q9 M  M
% j' L# i2 w% W3 S. X) u! _69 <p class="STYLE1">　　·请选择【<strong id="idExt">rar，doc，xls</strong>】格式的文件，其他格式的文件请打包后再上传。</p>
! x3 I" S) ~. d! u: N! I+ X- ?
3 M* Y" W2 E8 `70 <p class="STYLE1">　　·文件名尽量详细，以方便下载。</p>

71 <p class="STYLE1"> 　　·文件不能过大。 </p>
* x4 R% d' }, T7 l( k4 d% I7 w. ]
72 </body>

8 L- a" O- K9 c73 </html>
/ A  q/ I& u0 L! _, N4 {+ l
* q/ `3 V+ r' d0 L  J( ^# F; a