www.2cto.com:以前的老文章了，站里没有，补上。

今日低调在知道区发帖求助，说后台地址，用户名和密码都有，拿不到shell。不久wbxym和ljb17就分别2种办法上传好了shell。wbxym的方法很简单就是本地上传，修改action的地址为上传页面并且在路径后面加上*.asp;或者加个.也行。就不多做介绍。ljb17的方法是抓包，利用nc上传。
他这里路径有2种办法，第一个办法是和上面一样，添加*.asp;
第二种办法就是截断，直接在路径后面加*.asp空格，然后在16进制下面将20改为00.然后抓包上传。这里要切记如果文件大小有变化，一定要修改包的大小。
今天我介绍一个新办法，无需做多余的工作，咱们直接上传shell。
诀窍就是利用opera游览器上传。
大家跟随我的脚步一起来upload吧。
首先当然是要安装好这款来自挪威的非IE内核的游览器，非常漂亮。
在低调的这个网站有一个上传产品图片的地方。地址为：http://www.2cto.com /admin/Uppic.asp?formname=myform&editname=p_pic_b&shopuppath=uppic&filelx=jpg
咱们在opera中打开，很杯具的一个上传页面，没有权限验证，根本无需进入后台。
如图

 

现在我们要修改路径，有2种方式 。
第一种，在页面点击“检查元素”，

就将会启动dragonfly，之后点击左下角的那个“展开DOM树”，就会将代码全部展开。

之后找到我们准备修改路径的地方，双击他的value值，就会出现修改框

修改好后在旁边单击一下就保存。
此时我们点击右上角的关闭按钮，关掉frangonfly 。
然后把我们shell修改城gif后缀的文件，在网页中，选择此文件，点击上传，即可成功的传上我们的文件，利用IIS解析问题拿到shell。
第二种方法，这是一种更为简单的方法，他同本地上传差不多。
我们打开上传页面后，右键点击页面，选择“源代码”

打开源代码后，直接修改路径，然后点击“应用更改”

此后的过程和上面一样，选择文件即可上传。
不用保存页面，不用挂包，不用NC，这比上面说的本地上传和NC上传要简单的多吧。
对于opera，这里还要说到另外一个问题，怎样获取上传后文件的地址？
因为这个上传页面有一个特点，上传后就关掉页面，如果是在ie内核的游览器比如TT，搜狗中都有一个确认网页关闭的选项，那么在关掉时点击取消，然后查看源代码即可获取地址。但是在opera中是没有的。
我们知道关闭页面是由javascript代码完成的，那么我们搞定js代码就行。也许有童鞋会说，那么我们编辑源代码，去掉js代码不就行了吗？
但是在这里，刚刚我们翻Uppic.asp的代码可以看到，他并没有关闭窗口的代码，关闭窗口的代码是由他的action页面Uppicpro.asp来完成的，修改代码已不可能。
但是js代码是在客户端执行的，我们在游览器中禁用掉不就行了吗？
思路来了，come on
上传页面，右键单击，选择“编辑站点首选项”，切换到“脚本”选项卡，把”允许使用jacascript”前面的钩钩去掉

确定然后上传，页面不再关闭，咱也顺利拿到地址。

看到了后面的“window.close”了吧，就是他要关闭页面的。
测试看看上传是不是ok。

答案是：perfect