stm 后缀名 asp ssi 调试 上传 木马

转载 2006年06月16日 11:29:00

stm是一种文件后缀名

在浏览器中请求test.stm,没有什么反映,一片空白。但是一查看源代码,会发现是文件的真实内容,如果是ASP文件,则可以查看ASP的源码。

看下IIS服务器/主目录/配置/映射/stm,发现IIS解析此后缀名的文件是C:/WINDOWS/system32/inetsrv/ssinc.dll 也就是服务器端包含。

利用这个特性可以调试ASP程序,如一个asp文件,里面包含了很多的include file="",你想看看有没有重复或其它,可以将此文件后缀名改为stm,再用浏览器浏览,查看其代码。

变通地想,有些网站不准上传asp,aspx,htm,html,但对此文件后缀没有限制,可以上传一个x.stm到服务器。代码中写<!--#include file="conn.asp"-->,如果你知道其conn.asp的准备位置,可以用相对路径定位。然后浏览,怎么样,数据据信息一览无余。此时充当了一个木马的作用。

后记:大家可以用stm来调试asp,并且在配置IIS的时候要删除此映射。上次一位同学要实现查看一个asp全部包含的全部代码的功能,虽然想起来,却忘记了具体的后缀,一时google,baidu都找不到,居然忘记去看IIS的映射。今天偶然想起,好记性不如烂笔头,如果你坚持看到此外,相信本文对你有些用处。




Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=769924

相关文章推荐

图片上传,js控制后缀名,大小及在线浏览

form表单图片上传的HTML代码 确定 取消 ...

php 文件上传后缀名与文件类型对照表(几乎涵盖所有文件)

在这个过程中会有一些浏览器兼容,更准确来说是文件类型解析标识不一致的问题。 网上有很多php文件上传的类,文件上传处理是php的一个特色(至少手册上是将此作为php特点来展示的,个人认为ph...

文件上传后缀名与文件类型对照表

IE 火狐(FF) id 后缀名 php识别出的文件类型 0 gif image/gif 1 jp...

PHP——获取上传文件的后缀名

上传文件的处理是相当重要的,首先还是得从安全入手,因而文件的扩展名的检查是至关重要的。今天学了一个上传文件扩展名检查的实例,分享一下 DOCTYPE html PUBLIC "-//W3C/...
  • bfboys
  • bfboys
  • 2016年10月07日 01:06
  • 179

ASP.NET 4.0在IIS6原生支持没有后缀名的URL请求

看到haack的这篇文章《ASP.NET MVC 3 Extensionless URLs on IIS 6》,我才知道在IIS6的环境下运行ASP.NET4.0程序,我们已经可以原生的支持没有后续名...

Access数据库改为asp后缀名的注意事项

很多编程人员在开发的时候都认为,改了mdb后缀为asp后就能防止数据库被下载,这种想法是错误的!下面的实验就是证明! 我在自己的电脑上做的测试,事先已经建立了虚拟目录xinwen,数据库文件nx...

修改服务器配置,让asp.net文件后缀名随心所欲

有的网站出于各种各样的原因,在IIS中修改了动态页面的默认后缀,asp时代就有人在服务器上修改配置,把html后缀的文件当作asp文件来解析:也就是说,asp程序(后缀为.asp)可以保存为一个.ht...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:stm 后缀名 asp ssi 调试 上传 木马
举报原因:
原因补充:

(最多只允许输入30个字)