今天看到了有人公开的IIS6解析漏洞，IIS会把 “webshell.asp;.jpg” 这样的文件名当成 webshell.asp 解释运行（正常应该是当图片输出）。

经本地测试，确实存在该漏洞。不过，要找到可利用站点似乎不太容易。
目标网站必须符合以下几点：
1，网站服务器使用IIS
2，使用ASP（或PHP）做的程序，而且不是流行程序（流行程序基本已过滤）
3，能上传文件，或者会员能上传文件（单用户BLOG就不行啦）
4，上传文件不会被重命名。