IIS6.0解析漏洞

最新推荐文章于 2024-04-04 02:22:48 发布
最新推荐文章于 2024-04-04 02:22:48 发布
阅读量1.8k 收藏
点赞数
分类专栏: Web漏洞

a. 在WEB目录下,当文件名称为类似“a.asp;b.jpg”或者“a.asa;b.jpg”这种格式的时候,IIS会将它解析为asp文件,如图1所示。


图1

b. 在WEB目录下,IIS6.0会将以“*.asp”或者“*.asa”这种格式命名的文件夹下的所有文件都解析为asp文件,如图2所示。


图2

上面这两点属于IIS设计的缺陷,但可惜微软认为这是IIS的特性,一直没有推出相应的安全补丁。

在尝试绕过文件上传检测时,这两种方法有时非常有效


原文章链接:电脑店行业门户

Gs_Yu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IIS6.0文件解析漏洞
龙狼刺的博客
05-11 6211
目录 一、相关知识 1、IIS6.0解析漏洞介绍 2、IIS6.0PUT上传原理 3、IIS6.0解析文件类型 4、IIS6.0文件解析漏洞修复方案 二、环境配置 三、文件上传 1、设置代理 2、靶机环境配置 3、截取数据包 4、探测漏洞 5、创建文件,并写入一句话木马 6、复制文件并重命名,绕过拦截 四、蚁剑连接 一、相关知识 1、IIS6.0解析漏洞介绍 (1)当建立*.asa、*.asp格式的文件夹时,其目录下的任意文件都将被IIS当做asp文件解析。...
IIS6.0漏洞解析漏洞复现及防御——文件解析、目录解析
7Riven's blog
12-06 4129
漏洞成因 IIS 6.0 在处理含有特殊符号的文件路径时会出现逻辑错误,从而造成文件解析漏洞。一般配合服务器的文件上传功能使用,以获取服务器的权限。 IIS6.0在网站下对创建目录格式没有做严格的过滤限制措施,导致目录解析漏洞漏洞类型 文件解析漏洞、目录解析漏洞 漏洞细节 验证有哪些文件格式被IIS6.0当做asp格式执行? 从上述测试结果来看,IIS6.0下可...
Web中间件常见漏洞总结
qq_35358965的博客
05-09 2727
是一类提供系统软件和应用软件之间的连接,便于软件各部件之间的沟通的软件,应用软件可以借助中间件在不同的技术架构之间共享信息和资源。中间件位于客户机服务器的操作系统之上,管理着计算资源和网络通信。中间件=平台+通信。
中间件解析漏洞 - IIS6.0
qq_49433473的博客
05-18 1849
中间件解析漏洞 - IIS6.0 —(文件上传之IIS6.0解析漏洞
iis6.0-put漏洞
m0_65150886的博客
10-17 530
根据put协议,当我们浏览某个网站,访问某个资源时,如果网站存在这个资源,则会进行替换,若网站不存在这个资源,则会创建这个资源,所以我们可以利用put直接对网站写shell。而IIS Server 如果在 Web 服务扩展中开启了 WebDAV ,配置了可以写入的权限,结合put协议就会造成任意文件上传漏洞
IIS6.0解析漏洞及修复-01
09-15
IIS6.0解析漏洞及修复-01 IIS6.0解析漏洞及修复是Web安全训练营的重要一课,今天我们来讨论IIS6.0解析文件类型和修复方案。 IIS6.0解析文件类型 IIS6.0解析文件类型是指IIS6.0服务器如何处理不同的文件类型。...
29.文件上传漏洞IIS6.0解析漏洞及防御原理(二)1
08-03
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。写文章-CSDN
IIS_6.0文件解析漏洞及解决办法
04-07
IIS 6.0 文件解析漏洞及解决办法 IIS 6.0 文件解析漏洞是指在 IIS 6.0 中的一个安全漏洞,该漏洞允许攻击者上传恶意文件并执行恶意代码,从而获得网站的控制权。该漏洞是由于 IIS 6.0 在处理文件夹扩展名时的错误...
第一节 中间件解析漏洞-IIS6.0-01
09-15
IIS6.0解析漏洞 IIS6.0中间件解析漏洞是指在IIS6.0服务器中,因其解析机制存在漏洞,导致攻击者可以上传恶意文件。该漏洞存在IIS6.0服务器的解析机制中,当建立*.asa、*.asp格式的文件夹时,其目录下的任意文件都...
IIS6.0最最完整版
05-02
IIS 6.0 全面解析IIS(Internet Information Services)是微软公司推出的一款Web服务器应用程序,主要用于提供HTTP、FTP、SMTP和NNTP等网络服务。IIS 6.0作为其第六个主要版本,发布于2003年,与Windows ...
FCKeditor上传漏洞IIS6解析漏洞的利用和修补
03-18
FCKeditor上传漏洞IIS6解析漏洞的利用和修补
IIS6.0文件解析漏洞–特殊符号“/“ && IIS6.0文件解析漏洞–特殊符号“;“
m0_73720136的博客
05-07 452
掌握利用IIS6.0文件解析漏洞,绕过白名单限制,解析脚本文件。掌握利用IIS6.0文件解析漏洞,绕过白名单限制,解析脚本文件
IIS6.0文件解析漏洞
lbjayo的专栏
02-24 1569
早前有暴出一个IIS6.0文件解析漏洞,遇到http://www.xxx.com/uppic/1.asp/xiaoma.jpg会自动解析成asp文件执行。此漏洞产生在IIS6.0,处理文件夹扩展名出错导致以.asp命名的文件夹后面的文件直接以asp代码执行。所以无论*.asp文件夹后面是什么格式的文件都被当作ASP程序执行。同理可得只要是可执行程序都可以利用此解析。如:在IIS没有删除扩展名的
Apache/IIS/Nginx中间件解析漏洞
sGanYu
12-07 7310
目录 IIS5.x/6.0解析漏洞 Apache解析漏洞 Nginx解析漏洞 IIS7.5解析漏洞 IIS5.x/6.0解析漏洞 使用iis5.x-6.x版本的服务器大多为windows server 2003,由于网站比较古老,开发语句一般为asp,该解析漏洞只能解析asp文件,而不能解析aspx文件,得安装.net框架 目录解析6.0) 形式:www.xxx.com/xx.asp/xx.jpg 原理:服务器会默认把asp,asa目录下的文件解析成asp文件 例如创建一个文件夹,将
2024HW--->中间件漏洞!!!
最新发布
huohaowen的博客
04-04 1224
上次好像记得讲过了框架漏洞,(weblogic不是)那么,今天我们就来讲一些中间件的漏洞
iis常见漏洞(中间件常见漏洞
qq_56438857的博客
08-17 8939
漏洞的意义:1、 猜解后台地址2、 猜解敏感文件,例如备份的rar、zip、.bak、.sql文件等。3、 在某些情形下,甚至可以通过短文件名web直接下载对应的文件。该漏洞的局限性:1、 只能猜解前六位,以及扩展名的前三位。2、 名称较短的文件是没有相应的短文件名的。3、 不支持中文文件名4、 如果文件名前6位带空格,8.3格式的短文件名会补进,和真实文件名不匹配5、 需要IIS和.net两个条件都满足。...
初窥渗透--IIS6.0解析漏洞
happy_dw的专栏
07-23 5535
学渗透一定要动手操作,一个简单的动作重复N遍以上就能学会了。     最近在学习一句话木马的使用,加上中国菜刀,真是个居家旅行的必备技能。举例说asp的一句话: a就是连接密码了。(一定要写对chr(97),我看着书写char(97)被坑了一下午...还以为是服务器设置问题)。但是今天我练习的时候遇到了只能上传图片的漏洞,然后就去网上找姿势,就学习了IIS6.0解析漏洞了。 我

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值