对iis写权限的利用

最新推荐文章于 2022-11-19 06:15:00 发布
最新推荐文章于 2022-11-19 06:15:00 发布
阅读量1.6k 收藏
点赞数
分类专栏: Fun&TipS 文章标签: iis file path socket 服务器 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/freexploit/article/details/150566
版权
作者: SuperHei

大家可能看过《远程分析IIS设置》,里面对iis的各种设置进行了分析,我这里就对iis的写权限来分析下,以下引用《远程分析IIS设置》文章对iis写权限分析内容:

写权限


  测试一个目录对于web用户是否具有写权限,采用如下方法:telnet到服务器的web端口(80)并发送一个如下请求:





PUT /dir/my_file.txt HTTP/1.1
Host: iis-server
Content-Length: 10

  这时服务器会返回一个100( 继续)的信息:





HTTP/1.1 100 Continue
Server: Microsoft-IIS/5.0
Date: Thu, 28 Feb 2002 15:56:00 GMT

  接着,我们输入10个字母:





AAAAAAAAAA

  送出这个请求后,看服务器的返回信息,如果是一个 201 Created响应:





HTTP/1.1 201 Created
Server: Microsoft-IIS/5.0
Date: Thu, 28 Feb 2002 15:56:08 GMT
Location: http://iis-server/dir/my_file.txt
Content-Length: 0
Allow: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, COPY, MOVE, PROPFIND,
PROPPATCH, SEARCH, LOCK, UNLOCK

  那么就说明这个目录的写权限是开着的,反之,如果返回的是一个403错误,那么写权限就是没有开起来,如果需要你认证,并且返回一个 401(权限禁止) 的响应的话,说明是开了写权限,但是匿名用户不允许。如果一个目录同时开了”写”和“脚本和可执行程序”的话,那么web用户就可以上传一个程序并且执行它,恐怖哦%^#$!~


  这里简单说明下:





PUT /dir/my_file.txt
最低0.47元/天 解锁文章
freexploit
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IIS权限利用工具
03-07
IIS权限利用工具 网络攻防信息安全 是的
IIS权限测试
10-24
IIS权限测试软件 桂林老兵作品
简析IIS权限
kuxing100的专栏
02-18 625
最近在搞网站,不小心把几个站给搞垮了,具体就不说了,过程也无非是扫描,我用的方法是IIS权限    跟平常的注入也不一样,大家如果没有找到注入点的话,可以试试IIS权限,             下面的文章是网上转载来的,大家了解一下过程 //上个月给黑手投去了,人家既然没有发表,我就发出来吧,毕竟文章的原创内容太少,技术含量也没有多高。  最近对IIS的一些安全设置做了下
html语言post下发bin文件,在IIS7中启用html文件的POST请求
weixin_42244905的博客
06-03 200
问题关于此问题还有很多其他问题(特别是405方法不允许错误),但我还没有找到似乎有效的解决方案.我有一个html和javascript的web应用程序(没有后端),javascript在表单中使用POST.我知道IIS看到html文件是静态的,只允许它们使用GET和HEAD动词,所以当一个表单发布时我得到“405 Method Not Allowed …”因为无效的方法(HTTP动词)而无法显示正...
前端,用经验来助力面试成功
m_osdasdaw的博客
05-12 339
在前面 CSDN话题挑战赛第1期 活动详情地址:CSDN 参赛话题:前端面试宝典 话题描述:欢迎各位加入话题创作得小伙伴,如果我没有猜错得话,我觉得你是应该同我一样是一位前端人。如今前端在IT事业中的占比越来越重,已经成为不可缺少的部分,前端技术也是层出不穷,各种技术类、技术框架也蜂拥而出,前端面试的难度也随之增加,如果我们拥有一套前端面试宝典。如果你是应聘者:你就可以从容的solo面试官,如果你是面试官:你就可以将应聘者拷问到骨子里! 总之我们大家一起将自己的面试经验以及学
iis权限利用工具
11-14
总的来说,"iis权限利用工具"是网络安全维护中的一个重要辅助,它能帮助我们发现并修复IIS服务器的安全隐患,防止恶意攻击者利用权限漏洞对系统造成破坏。正确理解和使用这类工具,对于提升服务器安全性至关重要...
iis权限利用工具
06-29
标题 "iis权限利用工具" 暗示了我们关注的是与互联网信息服务(IIS)相关的安全性问题,特别是涉及到IIS服务器上文件系统的权限滥用。IIS是微软提供的一个用于Windows操作系统的Web服务器软件,它允许用户通过...
iis权限
08-07
- `说明.txt`: 可能包含有关如何利用IIS权限漏洞或如何配置文件系统访问的说明。 - `config`: 这可能是某个应用的配置文件,可能需要IIS权限来动态更新配置信息。 - `logs`: 日志文件夹,通常需要权限以便IIS...
IIS权限利用工具.rar
10-14
这个压缩包文件"IIS权限利用工具.rar"似乎包含了用于检测或利用此类漏洞的工具。 IIS权限漏洞通常指的是攻击者通过某种方式获得了对IIS服务器上特定目录的权限。这种权限可以让他们上传恶意文件,如...
http请求和响应格式说明,http的get和post请求方式说明,http的请求体body的几种数据格式
最新发布
учёба
11-19 5783
http
解决IIS 远程无法支持HTTP POST访问的方法
cai860755的博客
10-16 9053
IIS 默认是支持的HTTP POST的 .但是项目部署后,在远程却无法用HTTP POST 访问.出现 "500 内部服务器错误" 的提示,解决的方法是,修改web.config文件 添加已下协议: (红色部)                                                                        
[环境搭建]-Web Api搭建到IIS服务器后PUT请求返回HTTP Error 405.0 - Method Not Allowed 解决方法
QiuJuer
04-16 9243
尝试使用微软的Web Api,他的确是一个很有意思的东西。 让我体会到了许多的方便,但是我发现部署到IIS
接口请求(get、post、head等)详解
海淀码农
11-25 1万+
一.接口请求的六种常见方式: 1、Get 向特定资源发出请求(请求指定页面信息,并返回实体主体) 2、Post 向指定资源提交数据进行处理请求(提交表单、上传文件),又可能导致新的资源的建立或原有资源的修改 3、Put 向指定资源位置上上传其最新内容(从客户端向服务器传送的数据取代指定文档的内容) 4、Head 与服务器索与get请求一致的相应,响应体不会返回,获取包含在小消息头中的原信息(与get请求类似,返回的响应中没有具体内容,用于获取报头) 5、Delete 请求服务器删除request-URL所标
黑哥谈应用安全:技术的进步就是为了解决矛盾
啊啊啊啊2
02-09 809
如果你是安全圈内或安全圈周边人士,或者如果你不懂安全但经常看道哥的黑板报,你应该知道黑哥。这里直接借用一下道哥在黑板报对黑哥的介绍:\u0026#xD;\n\u0026#xD;\n黑哥真正的id是superhei,熟悉他的人喜欢叫他黑哥,也有无聊者直译为“超级黑”、“素破黑”。在黑客的圈子里,有无数叫小黑或者黑哥的,但在资深黑客的眼中,只有一个黑哥,就是superhei。黑哥真名周景平,目前是国内...
nginx只允许get/post请求
热门推荐
蓝天之枫
09-04 3万+
# admin server start     server {         listen      ${admin.port} backlog=8192;         server_name ${domain};                  proxy_http_version  1.1;         proxy_set_header    Connection
漏洞修复: Web服务器限制只允许通过GET/POST请求
weixin_33794672的博客
06-13 5290
2019独角兽企业重金招聘Python工程师标准>>> ...
http请求的post和get方式的区别
编程小咯喽的博客
08-11 2万+
在网上找了post和get请求方式的不同和区别,感觉这个比较好,转载过来和大家分享! Http定义了与服务器交互的不同方法,最基本的方法有4种,分别是GET,POST,PUT,DELETE。URL全称是资源描述符,我们可以这样认为:一个URL地址,它用于描述一个网络上的资源,而HTTP中的GET,POST,PUT,DELETE就对应着对这个资源的查,改,增,删4个操作。到这里,大家应该有个大
IIS Post 大小超出允许的限制
莫等闲的博客
12-11 9303
1、IIS下取消POST大小的限制(限制默认POST的长度是4096 Byte)      在web.config文件中的system.web配置节增加下面语句。(IIS默认长度为30兆,web.config中maxRequestLength设置超过30兆同样上传不成功)  <httpRuntime targetFramework="4.5.1" requestValidationMod...
IIS安全加固.pdf
07-30
IIS安全加固.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值