天翼 www.addwing.cn www.addwing.com.cn

我爱的人名花有主,爱我的人天涯何处?-=-=争取5年后写程序不是为了吃饭!...

stm 后缀名 asp ssi 调试 上传 木马

stm是一种文件后缀名

在浏览器中请求test.stm,没有什么反映,一片空白。但是一查看源代码,会发现是文件的真实内容,如果是ASP文件,则可以查看ASP的源码。

看下IIS服务器/主目录/配置/映射/stm,发现IIS解析此后缀名的文件是C:/WINDOWS/system32/inetsrv/ssinc.dll 也就是服务器端包含。

利用这个特性可以调试ASP程序,如一个asp文件,里面包含了很多的include file="",你想看看有没有重复或其它,可以将此文件后缀名改为stm,再用浏览器浏览,查看其代码。

变通地想,有些网站不准上传asp,aspx,htm,html,但对此文件后缀没有限制,可以上传一个x.stm到服务器。代码中写<!--#include file="conn.asp"-->,如果你知道其conn.asp的准备位置,可以用相对路径定位。然后浏览,怎么样,数据据信息一览无余。此时充当了一个木马的作用。

后记:大家可以用stm来调试asp,并且在配置IIS的时候要删除此映射。上次一位同学要实现查看一个asp全部包含的全部代码的功能,虽然想起来,却忘记了具体的后缀,一时google,baidu都找不到,居然忘记去看IIS的映射。今天偶然想起,好记性不如烂笔头,如果你坚持看到此外,相信本文对你有些用处。




Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=769924

阅读更多
上一篇在b/s开发中经常用到的javaScript技术
下一篇保证系统安全、删除Windows默认磁盘共享的注册表文件
想对作者说点什么? 我来说一句

上传ASP木马入侵网站教程

2008年11月12日 7.5MB 下载

没有更多推荐了,返回首页

关闭
关闭