NET IIS暴绝对路径漏洞

最新推荐文章于 2024-06-17 17:48:06 发布
最新推荐文章于 2024-06-17 17:48:06 发布
阅读量2.7k 收藏
点赞数
分类专栏: 黑客技术 文章标签: iis .net 服务器 blog

转自:虫子的BLOG http://cnxhack.blog.sohu.com/4609851.html

今天终于有了火狐的ID了..高兴ing...

感谢猪头三.哈.

进去看了一下,看到"NET IIS暴绝对路径漏洞 "这文章,不错,偷来贴贴. :)

 .NET Framework Version:1.1 IIS 暴绝对路径漏洞:

举例说明:

在baidu.com里扫: inurl:aspx

找到很多ASPX的站.随便进一个.

http://www.sg.com.cn/jpbbs/denglu.aspx  这里吧.

写成这样:http://www.sg.com.cn/jpbbs/~denglu.aspx  回车, 出现错误信息如下:

========错误信息===============

“/jpbbs”应用程序中的服务器错误。

用于监视的文件名无效:“G:/xxf/jpbbs/~denglu.aspx”。用于监视的文件名必须具有绝对路径,并且不包含通配符。

========错误信息===============

呵,绝对路径出来了..

有了绝对路径,在入侵中会方便很多,怎么用?那就看你的啦. :)

PS:有些站加"~"后会而没有暴出路径.那就是不是.net Framework 1.1版本啦.或者代码被做容错处理了.(个人认为.哎 菜啊..)

hfzsjz
关注
专栏目录
【网络安全】绝对路径寻找方法
你在看屏幕的同时,屏幕也在注视着你
04-22 2121
绝对路径寻找方法 1.单引号找路径 在一些参数后面加入单引号 2.错误参数找路径 单引号很可能会触发waf,可以将参数改为很发杂的字母组合,找路径。 3.通过搜索引擎找路径 (这里指的是谷歌语法)例如:site:xxx "warning" site:xxx "fatal error" 4.测试文件找路径 网站通过XAMPP或者phpstudy软件搭建,有一些测试文件 text.php 、phpinfo.php、1.php、info.php等,还需要时间情况下根据情况而定。 5.配置文件找路径 如果盲
iis7.5 的解析漏洞(iis7.5 解析漏洞解决方案)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
04-13 5815
iis7.5 的解析漏洞解决方案,第1种方案:继续使用FastCGI方式调用PHP,要解决这个安全问题可以在php.ini里设置 cgi.fix_pathinfo=0 ,修改保存后建议重启iis(注意可能影响到某些应用程序功能)。 第2种方案:使用ISAPI的方式调用PHP。(注意:PHP5.3.10已经摒弃了 ISAPI 方式) 第3种方案:可以使用其他web服务器软件,如apache等。 【实战解决方案】增强IIS设置(IIS7站长之家 测试通过) 在IIS里找到“处理程序映射”,然后对PHP这
dvbbs 7.1.0 cookie 存在泄露绝对路径漏洞
动性忍心
07-04 1659
动网官方与站长站均存在严重漏洞,可大致入侵,内有说名,请尽快修复!dvbbs 7.1.0 cookie 存在泄露绝对路径漏洞dvbbs 7.1.0 的cookie存在泄露站点的绝对路径漏洞,攻击者可以配合其它技术,实现sql跨库查询等。漏洞利用例子:一、泄露绝对漏洞测试:对官方的测试站点:bbs.dvbbs.net上传一张图,代码如下:gif89a[code]<script>aler
文件绝对路径泄露
fansenliangren的博客
11-22 3679
网站系统对用户提交的非法请求回复错误信息,或HTML、JaveScript等源码书写疏忽等情况下,易发生服务器系统某些文件的绝对路径泄露。通过制造报错使应用泄露出应用在主机中的绝对地址路径,攻击者可以通过泄露绝对路径,分析网站结构,为后续上传恶意后门(如webshell等)创造了条件。
安全漏洞:JS文件中露系统绝对路径
阿强的博客
04-26 1363
鼎折覆餗
WordPress博客出现的绝对路径泄露漏洞及修复方法
09-28
主要介绍了WordPress出现的绝对路径泄露漏洞及修复方法,需要的朋友可以参考下
ASPX绝对路径工具
10-22
ASPX绝对路径工具就是用来检测这种漏洞的工具,它可以帮助开发者或安全研究人员识别出网站中是否存在这种风险。 使用这个工具,你可以输入目标ASPX页面的URL,然后它会尝试通过各种方法(如HTTP头、目录遍历、...
物理路径探测
聚鼎安全
12-11 2069
目录物理路径报错后台功能点搜索引擎容器特性文件泄露瞎蒙大法 物理路径 报错 【报错获得】 在处理报错信息的问题上如果处理不当,就可导致路径信息泄露,比如访问一些不存在的文件等思路。 这里的报错方法就很多了,说不完的,具体还要根据实际情况操作。下面说几种实用的↓ 1.有动态URL的地方可以替换参数 替换参数值为不存在的,很多时候都能爆物理路径 2.访问不存在的文件名 文件 或者改正常后缀为不支持的后缀。 IIS7.0以上,如果没有修改404页面,只要浏览web任意不存在的文件,都会直接绝对路径。同理,
PHP网站路径泄漏,WordPress出现的绝对路径泄露漏洞及修复方法
weixin_34355933的博客
03-19 1107
现在很多朋友开始使用360网站卫士来检测网站漏洞,我刚刚尝试了一下,耗费时间大概需要50分钟,发现基于WordPress 的站点还是会检测出一些漏洞,虽然不知道这些漏洞是否是高危漏洞,而且由于本人对这块没有研究,不知道是否会影响网站的安全和运行,但是还是想完善这些检测出来的漏洞。只要检测出来的绝对路径漏洞,我们就可以相对这些文件来完善修复这些漏洞。下面我就针对自己的网站检测出来的漏洞来说说。漏洞...
IIS自定义404错误页避免.NET网站路径信息
01-11
再输入非.aspx页面时,显示默认404页面,露站点路径信息。 解决办法: 1.自定义错误页(eg:error.htm),放在站点根目录。 2.打开“错误页”,右键“编辑”,如图: 3.“错误页”,右键“编辑功能设置”,如图: 如果没变化的话重启一下IIS即可。 您可能感兴趣的文章:ASP.NET中MVC使用AJAX调用JsonResult方法并返回自定义错误信息ASP.NET MVC自定义错误页面真的简单吗?在ASP.NET Core中显示自定义的错误页面ASP.NET MVC下自定义错误页和展示错误页的方式ASP.NET MVC中异
ASPX绝对路径的工具
02-11
ASPX 绝对路径 ASPX绝对路径的工具
PHP FirstPost存在路径泄露漏洞
weixin_33772645的博客
06-13 109
  受影响系统:   PHP FirstPost PHP FirstPost 0.1   描述:   BUGTRAQ ID: 4274   CVE(CAN) ID: CVE-2002-0445   PHP FirstPost是一款PHP WEB日志程序,包含一个开放的提议队列和评估系统。   PHP FirstPost对不存在的页面请求处理不正确,可导致www...
asp.net获取网站路径
weixin_30652491的博客
05-11 250
网站服务器磁盘上的物理路径: HttpRuntime.AppDomainAppPath 虚拟程序路径: HttpRuntime.AppDomainAppVirtualPath 任何于Reques...
IIS通过绝对路径下载txt、jpg等文件
weixin_34174105的博客
06-07 1079
默认配置下,IIS使用绝对路径访问txt、jpg等文件,会直接显示文件内容,以下配置可以实现文件下载 1.添加http头 双击“HTTP相应标头”添加以下内容 2.定义MIME类型 下面向大家介绍常见的MIME类型 超文本标记语言文本 .html,.html text/html    XHTML文档 .xhtml.xml ...
IIS配置好后,出现路径的情况。
故里2130
04-02 2195
如图所示,配置好IIS后,点击浏览网站 出现下图所示,原因是路径不对,所以不识别,把下一层的路径移动到上一层。就是把h5里面的文件移到和web.config同一层中。 刷新一个IIS上面的目录,然后再点击浏览网站就行了。 ...
iis设置404错误页,物理路径泄露漏洞【低危】
最新发布
qq_37159134的博客
06-17 579
访问aspx报错设置,还需做下面操作。iis404错误页自定义
渗透测试技巧:利用信息生成专用字典与电子工程师攻略
MySQL注入中,使用工具直接向目标站写入一句话木马,需要满足几个条件:拥有root权限、知道网站绝对路径、能执行LOAD_FILE()函数读取文件,并且有对web目录的写权限。写入文件操作,如INTO OUTFILE,要求提供文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值