这东西去年高考前紫就告诉我了，呵，动易竟然碰上了这颗钉子，那就让它碰吧。。。规模不小的一次漏洞，好多大站都被人拿了SHELL，唉，我也没怎么试。。。技术重要。。。继续学习。。。将来发现新的0DAY

利用方法:

1.注册个以 .asp结尾的用户名比如 03389.asp 会被系统自动建立一个以用户名为名字的目录)

注册后会自动登陆的，不用再登陆了，直接打开这个上传页

2.打开http://03389.com/user/Upload.asp?dialogtype=UserBlogPic&size=5 上传一个ASP文件改为.gif扩展名的图片，文件头加GIF89A 就可以饶过验证

3 打开图片的地址就可以写马了嘿嘿