KimSoft's Blog

淡定,淡定…

stm 后缀名 asp ssi 调试 上传 木马

stm是一种文件后缀名

在浏览器中请求test.stm,没有什么反映,一片空白。但是一查看源代码,会发现是文件的真实内容,如果是ASP文件,则可以查看ASP的源码。

看下IIS服务器/主目录/配置/映射/stm,发现IIS解析此后缀名的文件是C:/WINDOWS/system32/inetsrv/ssinc.dll 也就是服务器端包含。

利用这个特性可以调试ASP程序,如一个asp文件,里面包含了很多的include file="",你想看看有没有重复或其它,可以将此文件后缀名改为stm,再用浏览器浏览,查看其代码。

变通地想,有些网站不准上传asp,aspx,htm,html,但对此文件后缀没有限制,可以上传一个x.stm到服务器。代码中写<!--#include file="conn.asp"-->,如果你知道其conn.asp的准备位置,可以用相对路径定位。然后浏览,怎么样,数据据信息一览无余。此时充当了一个木马的作用。

后记:大家可以用stm来调试asp,并且在配置IIS的时候要删除此映射。上次一位同学要实现查看一个asp全部包含的全部代码的功能,虽然想起来,却忘记了具体的后缀,一时google,baidu都找不到,居然忘记去看IIS的映射。今天偶然想起,好记性不如烂笔头,如果你坚持看到此外,相信本文对你有些用处。

 

阅读更多
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/KimSoft/article/details/769924
个人分类: Lang.ASP,VBScript
上一篇诸葛亮的满城计和司马懿的不买房运动-经典啊
下一篇据说这张图是关系到中朝韩日俄美六国局势
想对作者说点什么? 我来说一句

上传ASP木马入侵网站教程

2008年11月12日 7.5MB 下载

没有更多推荐了,返回首页

关闭
关闭