如何利用http协议缺陷通过put方法拿下客户端权限

最新推荐文章于 2024-04-28 09:12:23 发布
最新推荐文章于 2024-04-28 09:12:23 发布
阅读量429 收藏
点赞数
文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l2086949553/article/details/103774712
版权

第一步:在虚拟机win3中找到    安装可选的windows组件 —— 应用程序服务器 —— Internet信息服务(IIS)—— 万维网服务。

              在万维网服务中找到Active Server Pages 和 WebDAV发布,然后把这两个选项给勾上

                        

第二步:在 我的电脑下 ——  C:\Inetpub\wwwroot  目录下新建一个ss.asp文件,并编写简单的asp脚本语言

                

           为了试验的顺利,我们需要把权限都给客户端

                                      

         回到物理机中验证:打开浏览器,输入虚拟机中的IP地址(注意:虚拟机中的网络模式需为桥接模式)

                   

 

第三步:创建一个1.txt文件,在里面写一个一句话木马

             在虚拟机中把 C:\Inetpub 下的 wwwroot 文件的所有权限打开

                                       

             打开iiswrite,选择put方式把1.txt文件数据包提交到虚拟机中

                             

             在虚拟机中进入C:\Inetpub\wwwroot文件夹,发现多了一个test.txt的文件

                       

     第四步:在iiswrite里将test.txt改为shell.asp文件

                            

 

           回到 虚拟机中C:\Inetpub\wwwroot目录下发现多了一个shell.asp文件

                         

第五步:运行菜刀工具,然后右键点击添加

                         

然后双击打开刚刚添加的网址,你就拿到了管理权限

 

 

胡不归 .
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
关于HTTP提交方式之PUT
Focus-Fe
11-20 977
Http定义了与 服务器的交互方法,其中除了一般我们用的最多的GET,POST 其实还有PUT和DELETE   根据RFC2616标准(现行的HTTP/1.1)其实还有OPTIONS,GET,HEAD,POST,PUT,DELETE,TRACE,CONNECT   简单地结束一下吧。   1、PUT: 把消息本体中的消息发送到一个URL,跟POST类似,但不常用。   简单地说:...
禁用WebDAV-tomcat
xm_koma的专栏
07-20 775
     由于要处理一份关于公司的一个公众用户网站安全扫描中可能存在的安全性问题。需要禁用WebDAV,或者说是对http中的一些方法的禁用。       WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一...
HTTP协议中的PUT方法和POST方法的区别是什么?
长风破浪会有时的博客
04-28 177
我们使用PUT方法时,会把数据(信的内容)和要更新的资源的位置(邮筒的地址)一起告诉服务器。服务器收到后,会用我们提供的新数据来替换掉原来位置上的旧数据。这就像是我们用新的信替换了邮筒里原来的信一样。如果那个邮筒(资源位置)之前没有信(数据),那么服务器就会在那个位置创建一封新的信(资源)。我们使用POST方法时,只是把数据(信的内容)提交给服务器,告诉服务器要处理这些数据。所以,简单来说,PUT方法和POST方法的区别主要在于:PUT方法是我们知道要把数据放到哪个位置,并且会替换掉那个位置上的旧数据;
tomcat禁用PUT,DELETE等一些不必要的HTTP方法
李卓书
05-27 1万+
前言 在项目进行渗透测试的时候,我们收到了第三方测试报告,要求我们禁用DELETE、PUT、TRACE、MOVE、COPY、OPTIONS等HTTP请求方法,降低可攻击性。 解决办法 在tomcat的web.xml中设置一些参数即可: 可能web.xml中以前就有一些代码,注释掉,换成我的,如果报错的话就百度下,应该很好解决。我把代码粘贴到下面,方便复制 <web-app xmlns="h...
HTTP 请求方法 GET/POST/PUT/DELETE
小楼一夜听春雨,深巷明朝卖杏花
08-05 8988
变量的值使用jsonpath语法。
Http协议的Delete和Put方法用法
04-27
一般来说,Web服务器默认的只支持Post和Get...但是随着Ajax XMLHttpRequest 和 REST风格应用的深入,我们发现Http 1.1协议还支持如下请求方法(Request Method): •OPTIONS •HEAD •DELETE •PUT •TRACE •CONNECT
HTTP.rar_HTTP_HTTP协议客户端_HTTP客户_c http_http客户端
09-20
在描述中提到的"实现http协议客户端和服务端的C++代码",意味着这里包含的资源可能是用于编写HTTP客户端和服务器的源代码。C++是一种通用的、面向对象的编程语言,具有高效性和灵活性,常用于系统软件、应用软件以及...
http请求方法的概述及应用.pdf
最新发布
07-06
HTTP(Hypertext Transfer Protocol)请求方法客户端(如浏览器)向服务器发送的请求,用于获取特定资源或执行特定操作。这些方法HTTP协议中定义,并遵循经典的client-server模型。以下是HTTP请求方法的概述及...
HTTP的请求方法与返回状态码
09-02
7. TRACE 请求:协议调试方法,该方法使得服务器原样返回任何客户端请求的内容。 8. CONNECT 请求:将连接改为管道方式的代理服务器。 二、HTTP 返回状态码 HTTP 返回状态码用于描述服务器对客户端请求的响应结果...
HTTP协议客户端测试工具-POSTMAN.zip
01-08
POSTMAN是一款强大的HTTP协议客户端测试工具,它广泛应用于软件开发者和测试工程师的日常工作中,用于测试Web服务和API接口。这款工具支持多种网络协议,包括HTTP和FTP,使得用户能够轻松地发送各种HTTP请求(如GET...
REST 测试工具(HTTP PUT DELETE方法支持)
10-24
HTA文件,只能在WINDOWS下运行。支持任意HTTP头信息, 可以选择查看HTTP返回的头信息。 POST请求会自动加上Content-Type:application/x-www-form-urlencoded 用MDB保存提交数据功能,非常适合HTTP调试。
关于HTTP中put方法不安全的问题
weixin_45718351的博客
02-24 4267
PUT方法是否安全 我敢很确定的说,从http协议的角度来说,put方法并不存在是否安全的问题,它和其他的协议一样,只是标志为type不同(他们的http协议中字段是不同的,但是影响不大,只是浏览器的同源策略的问题)。HTTP他只是一个协议,一个规则。他自身没有是否安全,而不安全的只能说是设计的服务器不安全。 为什么说put方法不安全 我大概查了一下,之所以会说put方法不安全是因为服务设计的缺陷,导致的put方法不安全,而让大众记住的是CVE-2017-12615这个安全漏洞。他存在于Tomcat 7.0
检测http方法是否开启put方法
weixin_33709609的博客
03-13 2064
安装如下httpRequester插件 检测方法如下: 进入插件  
Http协议的Delete和Put方法是做什么的?怎么用?
热门推荐
碧荷故乡_胡奇的专栏
01-08 10万+
一般来说,Web服务器默认的只支持Post和Get这两种“只读”的请求方法。但是随着Ajax XMLHttpRequest 和 REST风格应用的深入,我们发现Http 1.1协议还支持如下请求方法(Request Method):OPTIONSHEADDELETEPUTTRACECONNECTGet是最常用的,就
HTTP协议中PUT和POST使用区别
妙妙的博客
09-27 3万+
HTTP类型http协议类型有8种,分别是: OPTIONS:返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送’*’的请求来测试服务器的功能性。 HEAD:向服务器索要与GET请求相一致的响应,只不过响应体将不会被返回。这一方法可以在不必传输整个响应内容的情况下,就可以获取包含在响应消息头中的元信息。 GET:向特定的资源发出请求。 POST:向指定资源提交
c++删除文件delete_开启phpstudy中apache的put和delete请求方法并进行测试
weixin_39640883的博客
11-27 263
put请求方法:put方法可以向服务器写入文档!delete请求方法:delete方法可以向服务器请求删除url所指定的资源。但是,客户端无法保证删除操作一定会被执行,因为HTTP规范允许服务器在事先不通知客户端的情况下撤销删除请求。======== 实验环境:Windows Server 2008 + phpstudy + Kali Linux ========phpstudy默认安装后的情况下...
http协议详解
09-24
通过HTTP协议客户端可以向服务器发送请求,并获取服务器返回的响应。 首先,HTTP协议的请求由客户端发起。客户端使用HTTP请求方法来指定想要执行的操作。常见的HTTP请求方法有GET、POST、PUT、DELETE等。GET方法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值