安全培训教程之------利用IIS写权限漏洞

最新推荐文章于 2024-08-19 10:00:00 发布
最新推荐文章于 2024-08-19 10:00:00 发布
阅读量4.7k 收藏 3
点赞数 1
分类专栏: 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lanbingkafei/article/details/8877042
版权
本文记录了一次内网渗透试验的过程,重点探讨如何利用IIS的PUT扫描器和桂林老兵的IIS写权限利用工具,进行权限测试。通过描述开启WebDAV、设置IIS主目录权限等步骤,展示了不同情况下PUT、COPY、MOVE操作的响应状态,为安全培训提供素材。
摘要由CSDN通过智能技术生成

闲来无事,在内网做个渗透试验。记录下渗透过程,为培训收集一下素材。


一、扫面IIS漏洞




不支持上传功能:


这时候千万不要放弃,经验告诉我,IIS IIS PUT Scanner的上传功能很不给力,完全是鸡肋,可以利用NC或者老兵的IIS写权限利用工具。

上传一个马儿上去瞧瞧:


上传成功。


未完,待续……



备注:

1、IIS PUT Scaner By ZwelL

最低0.47元/天 解锁文章
蓝冰咖啡
关注
专栏目录
IIS6x任意文件漏洞
qq_44905657的博客
12-20 730
IIS 6x——任意文件上传漏洞
IIS权限漏洞
05-03
IIS权限漏洞,discua建须搭知与漏洞不全
Iis权限漏洞认识
weixin_34313182的博客
10-13 186
Iis权限漏洞是由于iis的网站主目录权限设置不当造成的,严格来说不属于iis漏洞。网站主目录设置可权限,可直接往服务器上文件,漏洞威胁级别较高。 漏洞成可利用的条件 1、 网站主目录权限允许入和脚本资源访问。如果只有权限利用时只能上传txt文件,使用move方法将txt文件改正可执行脚本,需要脚本资源访问权限。 2、 WebDAV服务器扩...
中间件安全IIS----文件解析漏洞利用
最新发布
qq_44005305的博客
08-19 1481
IIS服务器主要存在两种解析缺陷:文件夹解析漏洞和分号截断漏洞。下面就来分别具体了解一下。
利用IIS权限拿肉鸡
编程人生
08-25 4089
我们知道,打开别人的网站,我们是无法对其进行修改的,因为架设网站的IIS(Internet Information Server,一种web服务器)只给了用户读取网站的权限,这和我们在“网上邻居”中设置共享的原理是一样的。但如果因为管理员的疏忽,在配置IIS时给了用户“”的权限
墨者学院-IIS权限漏洞分析溯源
臭nana的博客
12-18 559
利用burpsuit抓包 发送到repeater 将GET改成OPTIONS 发现Allow部分有PUT和MOVE 然后利用PUT入一句话木马到一个文件里面 利用iis6文件解析漏洞,用MOVE改文件后缀名为.asp;.jpg 菜刀连接 拿到key ...
构建安全的ASP.NET应用(CHM).rar
07-09
7. **代码审查与安全性测试**:定期进行代码审查和安全性测试可以发现潜在的安全漏洞。了解基本的渗透测试技术,如使用OWASP ZAP或Burp Suite进行自动化扫描,以及如何编安全的代码,遵循OWASP Top Ten等最佳实践...
渗透测试 ( 3 ) --- Metasploit Framework ( MSF )
墨鱼菜鸡
07-11 4501
白嫖 Metasploit Pro 2022:https://zhuanlan.zhihu.com/p/449836479 白嫖 Metasploit Pro 2022:http://t.zoukankan.com/hxlinux-p-15787814.html 好东西之 metasploit pro:https://www.52pojie.cn/thr...
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5564
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
IIS权限利用
热门推荐
eldn__的专栏
10-28 1万+
源地址:http://netsecurity.51cto.com/art/200812/101015.htm  IIS权限对网站系统的安全是致命的,拥有权限可以直接往网站目录文件,在拥有权限的服务器上,其安全相对设置薄弱,因此比较容易被入侵者控制,本文就IIS权限方面进行了研究。 一、IIS权限原理 测试一个目录对于web用户是否具有权限,采用如下方法:   1.
iis权限利用工具
11-14
iis权限利用工具,老兵的作品,用着还行吧
IIS权限利用工具
10-24
IIS权限利用工具
渗透入侵\IIS权限漏洞.zip
07-15
渗透入侵\IIS权限漏洞
IIS put scanner增强版
08-31
IIS put scanner增强版,分享,只是分享
iisputscaner
12-04
iisputscaner可以批量检测不安全的http方法put方式,然后我们可以使用这个工具去上传shelll
一篇了解Java反射
qq_44005305的博客
09-10 56
1.Class也是类,也继承Object类2.Class类对象不是new出来的,而是系统创建的 (都是通过Classloader类创建的)3.每个类的Class类对象,在内存中只有一份,因为类只加载一次。
简析IIS权限
kuxing100的专栏
02-18 642
最近在搞网站,不小心把几个站给搞垮了,具体就不说了,过程也无非是扫描,我用的方法是IIS权限    跟平常的注入也不一样,大家如果没有找到注入点的话,可以试试IIS权限,             下面的文章是网上转载来的,大家了解一下过程 //上个月给黑手投去了,人家既然没有发表,我就发出来吧,毕竟文章的原创内容太少,技术含量也没有多高。  最近对IIS的一些安全设置做了下
IIS权限漏洞原理&利用工具手动版
weixin_34387468的博客
01-26 570
很老的东西了,严格的说不是漏洞,只是设置不善造成的Bug。八百年遇不到一会,结果前几天不幸碰上了。 用JSKY扫描人家的站,结果扫描器居然直接把人家整站给删了= =#(这也是百年不遇吧....囧,我猜JSKY用的参数一定是“/”)。 还好,最后搞进去把人家的站恢复了,真惊险。还义务帮他补漏洞,删后门...... 其中用到了IIS权限利用工具,桂林老兵版的...
Windows2003-IIS6配置主机头发布多站点教程
"在Windows 2003操作系统下,集成的Internet Information Services (IIS) 6.0版本提供了一种高效的方法来在同一台服务器上发布多个独立的网站。这种功能主要通过利用主机头(Host Headers)实现,使得每个网站可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值