IIS漏洞

最新推荐文章于 2024-08-13 15:26:49 发布
最新推荐文章于 2024-08-13 15:26:49 发布
阅读量556 收藏 3
点赞数 14
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A526847/article/details/139486589
版权

IIS7.5解析漏洞

安装IIS7.5

安装完成之后直接访问浏览器:

安装phpstudy for IIS

安装这个的目的是方便,不用自己去配置

解压开傻瓜式安装即可。然后查看探针:

漏洞原理

IIS7/7.5在Fast-CGI运行模式下,在一个文件路径(/shell.jpg)后面加上/1.php会将/shell.jpg/1.php 解析为 php 文件。

有两个前提:

1.配置php.ini中的配置 cgi.fix_pathinfo=1

2.在"Handler Mapping"中取消勾选以下内容

漏洞复现

直接将图片码放置网址根目录:

访问:

漏洞防御

和两个前提反着来即可。

IIS6版本的漏洞

目录解析漏洞

对于名字为.asp后缀的文件夹,IIS会将该文件夹内部的文件都解析为.asp文件来执行。 即构造名字为a.asp的目录,目录中的1.txt会作为asp文件执行。

文件名解析漏洞

对于名字为'a.asp;.jpg'文件,IIS并非以最后一个后缀名来判断格式,会忽略掉;之后的文件名,故会将 其解析为asp文件并执行。

即上传木马的后缀名为'.asp;.jpg'就可以被服务器执行。

亿林数据
关注
  • 14
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
IIS 漏洞总结
星落的博客
04-11 4030
目录 IIS介绍 IIS6.0 版本 目录解析漏洞 文件名解析漏洞 远程代码执行漏洞 cve_2017_7269 漏洞描述 POC 说明 漏洞利用 IIS7.5版本 IIS解析漏洞 漏洞原理 实验环境搭建 漏洞复现 IIS介绍 iis是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务 IIS6.0 版本 目录解析漏洞 对于名字为.asp后缀的文...
IIS 漏洞工具解析
明哥哥知识分享
09-16 2166
1. 概述通过学习文档内容。 熟悉并掌握 IIS 写入漏洞利用工具的利用方法,了解具体的功能内 容,亲自实践操作,并根据课程需求完成相关任务。 2. 工具功能说明 IIS 写入漏洞利用工具是由桂林老兵写的一款漏洞利用工具,专门针对 IIS 写入漏洞。 接下来我们具体介绍一下相关的使用。 2.1.第一部分 数据包格式 该功能模块默认的数据包传输方法有 7 种,分别是: OPTIONS 返回服务器的各种信息 PUT 生成上传文件数据包的。 POST 用来提交表单 MOVE 是改名数据包。 COPY 是复制数
IIS漏洞-解析漏洞
swordheart的博客
11-30 7176
漏洞介绍 解析漏洞是指web服务器因对http请求处理不当导致将非可执行的脚本文件等当做可执行的脚本文件等执行。该漏洞一般配合服务器的文件上传功能使用,以获取服务器的权限。 IIS 5.x/6.0解析漏洞 目录解析:在网站下建立文件夹的名称中带有.asp、.asa等可执行脚本文件后缀为后缀的文件夹,其目录内的任何扩展名的文件都被IIS当作可执行文件来解析并执行。http://www.xxx.com/xx.asp/xx.jpg IIS 6.0环境下正常访问图片 通过访问1.asp/one.j..
漏洞英文/Microsoft IIS漏洞整理_零基础攻防知识点
2401_84915584的博客
07-12 286
Microsoft IIS漏洞整理编译:施南去年下半年关于IIS漏洞层出不穷,鉴于目前IIS的广泛使用,觉得有必要把收集的资料加以总结一下。
IIS漏洞案例
qq_43717119的博客
06-19 499
IIS漏洞案例【实验目的】【实验环境】【实验预备知识点】【实验内容】 1、 IIS漏洞案例 【实验目的】 1、 理解IIS6解析文件名漏洞 2、 利用IIS6解析文件名漏洞 3、 修复漏洞 【实验环境】 PC机 1台、web服务器 1台 【实验预备知识点】 1、 IIS6解析文件名漏洞 因为微软的IIS6存在着一个文件解析路径的漏洞,当文件夹为类似xxx.asp的时候(即文件夹看起来像一个ASP文件的文件名),此时文件夹下的文本类型的文件都可以在IIS中被当成ASP程序来执行。这样黑客都可上传扩展名为jpg
IIS漏洞利用
温和的跳跃
01-10 1701
挖坑先。最近填IIS服务器漏洞研究一下。
网络空间安全赛题解析-通过IIS漏洞获取敏感信息
君逍遥o
06-04 693
IIS是Internet Information Services的缩写,是一个World Wide Web server。Gopher server和FTP server全部包容在里面。 IIS意味着你能发布网页,并且有ASP(Active Server Pages)、JAVA、VBscript产生页面,有着一些扩展功能。
iis 服务器修复,Windows Server中的IIS漏洞以及修复方法
weixin_39935571的博客
08-13 1522
我可以有把握地说,对于Windows服务器管理员来说普遍的目标是拥有适当弹性的系统。世界上有很多网络安全威胁,你最不希望发生的是在世界的另一头,或者在你的组织内部有人利用了IIS或者Windows的漏洞,而这一切都是本来可以避免的。你可能无法触及应用层面的漏洞,但是在服务器层面你有很多事情可以做到使基于IIS的系统更加安全。通过回顾我多年的网站安全评估项目,可以指出以下最影响Windows服务器的...
IIS中间件漏洞
m0_67189356的博客
09-20 3281
web中间件漏洞总结——IIS
window 服务器iis漏洞修复
05-02
web服务器漏洞修复
IIS漏洞全解析
10-15
### IIS漏洞全解析 #### IIS 6.0 文件扩展名处理漏洞 IIS 6.0 是一款由微软发布的Internet Information Services (IIS)版本,在早期的Windows Server系统中广泛使用。此版本存在一个关于文件扩展名处理的安全漏洞...
iis上传漏洞利用工具
07-06
**IIS上传漏洞详解** IIS(Internet Information Services)是微软公司推出的Web服务器服务,用于托管网站、应用程序和服务。在IIS的历史版本中,存在一些安全漏洞,其中一种常见的漏洞类型被称为"IIS解析漏洞"。这...
IIS漏洞工具
11-26
网站漏洞检测,进行网站安全加固,有利于网站的良好的运转
Linux安全与高级应用(十三)深入解析Linux中的rsync远程同步:原理、配置与应用
最新发布
洛秋的博客
08-13 612
1.1 rsync的基本原理rsync(Remote Sync)是一种用于本地或远程的文件同步工具。与传统的文件拷贝工具不同,rsync的核心优势在于其增量同步的特性,即只传输源和目标之间不同的文件部分,极大地减少了数据传输量。rsync支持通过SSH或直接使用rsync协议进行数据同步,这使得它在跨网络的大数据备份中表现尤为出色。1.2 rsync的优势增量备份:只同步差异文件或文件的变化部分,大幅减少网络传输量和时间。安全性:通过SSH加密通道进行传输,保障数据的安全。灵活性。
在亚马逊云科技上安全、合规、私密地调用生成式AI大模型
m0_66628975的博客
08-13 2014
Amazon Bedrock 是亚马逊云科技提供的一项服务,旨在帮助开发者轻松构建和扩展生成式 AI 应用。Bedrock 提供了访问多种强大的基础模型(Foundation Models)的能力,支持多种不同大模型厂商的模型,如AI21 Labs, Anthropic, Cohere, Meta, Mistral AI, Stability AI, 和Amazon,用户可以使用这些模型来创建、定制和部署各种生成式 AI 应用程序,而无需从头开始训练模型。
安全无忧!Windows7全补丁旗舰版:集成所有补丁!
lihuiyun184291的博客
08-13 335
今日,系统之家小编给大家分享集成所有补丁的Windows7旗舰版系统,集成至2023.12所有官方补丁,修复了系统高危漏洞,让大家时刻都能舒心地展开操作。系统基于微软 Windows 7 2009 SP1 旗舰版进行离线制作,全新升级的优化方案,系统性能更好,运作更加流畅,且系统安装步骤简单易懂,支持硬盘安装。
某通电子文档安全管理系统 CDGAuthoriseTempletService1接口SQL注入漏洞复现 [附POC]
薛定谔嘚喵博客
08-09 583
某通电子文档安全管理系统的 CDGAuthoriseTempletService1 接口存在 SQL 注入漏洞。 攻击者可以通过构造特定的POST 请求注入恶意 SQL代码,利用该漏洞对数据库执行任意 SQL 操作,获取所有用户的账户密码信息,破解md5值后可直接接管后台,导致系统处于极不安全的状态。
袁孝健:网络安全基础与IIS漏洞分析
4. Unicode编码:在这个部分,学生可能会研究不同编码方式之间的转换及其在IIS漏洞中的影响,比如Unicode编码可能导致用户输入被恶意利用。 通过这个作业,学生不仅掌握了基本的编码技术和信息安全理论,还锻炼了...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值