不知道你上传的文件是会回显一部分,还是全部不回显,回显一部分的话我有一点经历

1.查看当前页面是否有网页本身自带的图片,右键复制链接,然后用你bp抓包上传的路径代替图片路径

2.你先上传张jpg图片,看是否能下载或者另存为,然后再复制下载路径,替换图片路径

全部不回显的话,大多数不太好找

扫目录，确定网站附件的存放地址目录如果没有执行权限，可以试试改包增加../../，把文件向上一层，或者其他目录。真不行还得找个任意文件包含漏洞  一般的话就是右键查看图片地址

那这个也太尴尬了把，直接用D盾检测下目录试试把，或者用字符串匹配去检索你的木马特征把。比如利用Grep，Findstr等

用everth 啥的资源查找软件，配合杀毒软件搜下，应该可以查得到

你这个还真不一定找得到，很多文件上传设计比较安全的，他直接随机生成一个suid的目录专门存储这些文件，你从外部是不可能知道这个路径的，除非有别的利用点

有可能还有图床之类的，上传不在本地！

情况分析 ：
1.真的上传成功
a.上传文件存放的目录被设到别的目录；
b。上传的asp木马 被服务器防火墙 阻挡过滤 或删除了
2.假的上传成功
a.文件上传的代码已经被修改了，所提示的成功信息是管理员故意欺骗你的

可以找找看看有没有调用文件的地方能看到路径

自家搭建环境测试的话，用D盾监控一下

看一下数据包内的信息，有没有给你路径信息。