stm 后缀名 asp ssi 调试 上传 木马

原创 2006年06月02日 16:43:00

stm是一种文件后缀名

在浏览器中请求test.stm,没有什么反映,一片空白。但是一查看源代码,会发现是文件的真实内容,如果是ASP文件,则可以查看ASP的源码。

看下IIS服务器/主目录/配置/映射/stm,发现IIS解析此后缀名的文件是C:/WINDOWS/system32/inetsrv/ssinc.dll 也就是服务器端包含。

利用这个特性可以调试ASP程序,如一个asp文件,里面包含了很多的include file="",你想看看有没有重复或其它,可以将此文件后缀名改为stm,再用浏览器浏览,查看其代码。

变通地想,有些网站不准上传asp,aspx,htm,html,但对此文件后缀没有限制,可以上传一个x.stm到服务器。代码中写<!--#include file="conn.asp"-->,如果你知道其conn.asp的准备位置,可以用相对路径定位。然后浏览,怎么样,数据据信息一览无余。此时充当了一个木马的作用。

后记:大家可以用stm来调试asp,并且在配置IIS的时候要删除此映射。上次一位同学要实现查看一个asp全部包含的全部代码的功能,虽然想起来,却忘记了具体的后缀,一时google,baidu都找不到,居然忘记去看IIS的映射。今天偶然想起,好记性不如烂笔头,如果你坚持看到此外,相信本文对你有些用处。

 

版权声明:本文为博主原创文章,未经博主允许不得转载。

asp木马伪装成图片或其它,上传漏洞终极解决方法

自从上次给客户网站升级以后,网站安全性得到了进一步加强,不过这两天我在对客户网站进行维护时,发现有2个网站被上传了木马,但由于我设置了读写运行权限,木马虽然上传上了,但是无法运行,所以网站一直没被攻破...
  • god_7z1
  • god_7z1
  • 2011年09月02日 02:07
  • 2102

IIS如何防ASP木马

IIS是Internet Information Server的简称。IIS作为当今流行的Web服务器之一,提供了强大的Internet和Intranet服务功能,然而在ASP木马程序泛滥的今天,如何...
  • yushijie
  • yushijie
  • 2013年06月21日 12:08
  • 1156

揭密如何写ASP木马后门

正常的: EnD fUNCtION  IF SEssIoN("web2a2dmin")"" TheN  iF REquesT.foRM("pass")=uSERPASS Then  SEsSIoN(...
  • fsdzsec
  • fsdzsec
  • 2016年11月13日 10:36
  • 440

ASP木马提升权限的N种方法

ASP木马提升权限的N种方法Submitted by cooldiyer on 2006, July 6, 11:53 AM. 技术一、Serv-U提权    OK,看看他的PROGRAME里面有些什...
  • meiyouhuiyi
  • meiyouhuiyi
  • 2006年07月19日 20:08
  • 1948

ASP一句话木马大全

"" Then Execute(Request("MH"))%> ""then session("MH")=request("MH"):end if:if session("MH") execut...
  • eldn__
  • eldn__
  • 2012年12月30日 10:35
  • 7205

一句话木马上传常见的几种方法

1,利用00截断,brupsuite上传利用00截断就是利用程序员在写程序时对文件的上传路径过滤不严格,产生0X00上传截断漏洞。 假设文件的上传路径为http://xx.xx.xx.xx/upfi...
  • huyidada
  • huyidada
  • 2016年01月06日 22:08
  • 11390

关于ASP木马提升权限

来源: http://www.17nc.com/现在ASP木马是漫天飞,我有一次进去后发现竟然用30多个ASP木马,在帮管理员清理了后,真是累爬了。想想管理员还真是懒的可以……上传了ASP木马之后,如...
  • psyl
  • psyl
  • 2005年03月16日 08:05
  • 4106

如何区分上传的图片是不是木马?

这里所说的表示不同文件类型的魔术数字,指定是文件的最开头的几个用于唯一区别其它文件类型的字节,有了这些魔术数字,我们就可以很方便的区别不同的文件,这也使得编程变得更加容易,因为我减少了我们用于区别一个...
  • Lenny_CL
  • Lenny_CL
  • 2017年02月13日 10:59
  • 591

web安全之文件上传漏洞攻击与防范方法

一、 文件上传漏洞与WebShell的关系 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效...
  • u014609111
  • u014609111
  • 2016年09月29日 14:48
  • 16730

asp一句话木马原理

一句话木马入侵原理 是典型的一句话木马服务端代码,将这个代码写入asp文件,就成了一句话木马服务端文件。  仔细观察一下这句代码,括号里的“#”是我们一句话的密码,我们可以把它改成任意字符,这样可以...
  • JackLiu16
  • JackLiu16
  • 2017年11月10日 16:53
  • 350
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:stm 后缀名 asp ssi 调试 上传 木马
举报原因:
原因补充:

(最多只允许输入30个字)