Win8部署IIS+复现IIS 7.5图片解析漏洞

已于 2024-04-25 09:42:01 修改
阅读量386 收藏 5
点赞数 7
文章标签: 安全
于 2024-04-24 16:45:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59102311/article/details/138156986
版权

1.打开win8,点击开始->控制面板

2.点击程序

3. 点击打开或关闭Windows功能

4. 右键点击角色->添加角色

5. 点击下一步

6.勾选Web服务器(IIS),点击下一步

7. 点击下一步

8. 选择需要安装的服务,点击下一步

9. 点击安装

10.右键点击默认网站站点,选择管理网站->停止,然后删除站点

11. 新建文件夹,本实验命名为upload,新建TXT文件,输入内容<?php phpinfo();?>,并将文件重命名为1.jpg

12.右键点击添加网站

 13.在C盘安装小皮

14.安装后,在小皮面板的软件管理处,安装php5.4.45版本。在C盘下phpstudy的安装目录下,可以找到该版本PHP的路径为:C:\phpstudy_pro\Extensions\php\php5.4.45nts

15.为IIS服务器添加映射到PHP。打开IIS管理器,双击刚刚新建的网站,找到处理程序映射,双击

16.右键点击添加模块映射,其中第一行*.php表示任意以php结尾的文件;第二行选择FastCgi模块;第三行是在PHP安装目录下找到响应的可执行程序php-cgi.exe,参考下一张图设置;第四行随便写;点击确定

 17.双击IIS服务器,找到FastCGI配置,双击打开

18.按下步骤让CGI跟随PHP配置文件而修改配置

19.访问jpg文件,php语句没有被解析

20.在文件名后面添加/.php,然后访问,成功解析

注意:

在文件名后面添加/.php访问时,可能会出现FastCGI错误代码0x800736b1,解决办法是因为下载的php是高版本,如php5.3.x以上的。后面的php 是用c写的,所以需要先安装 Visual C++ 2008 库后才能正常编译。

_Rich_Man
关注
  • 7
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
iis7.5 的解析漏洞(iis7.5 解析漏洞解决方案)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
04-13 5748
iis7.5 的解析漏洞解决方案,第1种方案:继续使用FastCGI方式调用PHP,要解决这个安全问题可以在php.ini里设置 cgi.fix_pathinfo=0 ,修改保存后建议重启iis(注意可能影响到某些应用程序功能)。 第2种方案:使用ISAPI的方式调用PHP。(注意:PHP5.3.10已经摒弃了 ISAPI 方式) 第3种方案:可以使用其他web服务器软件,如apache等。 【实战解决方案】增强IIS设置(IIS7站长之家 测试通过) 在IIS里找到“处理程序映射”,然后对PHP这
IIS7&7.5解析漏洞
热门推荐
笨笨的专栏
07-06 5万+
IIS7/7.5在Fast-CGI运行模式下,在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg/xx.php 解析为 php 文件。
IIS7.5文件解析漏洞&&Apache解析漏洞&&Nginx文件解析漏洞&&
m0_73720136的博客
05-07 2390
掌握利用IIS7.5文件解析漏洞,绕过白名单限制,解析脚本文件。掌握利用Apache文件解析漏洞,绕过白名单限制,解析脚本文件。掌握利用Nginx文件解析漏洞,绕过白名单限制,解析脚本文件。
解决方案-iis7.5解析漏洞-新手白帽子知识点
最新发布
程序员三九的博客
06-18 389
首先用2003搭建IIS服务器点击添加或删除角色点击下一步点击自定义配置然后直接下一步到底。然后再管理工具里
IIS 解析漏洞
来日可期的博客
10-12 3181
IIS 7.0/7.5 解析漏洞,在路径的末尾添加一个/.php,页面报错的原因是这里使用的是IIS10.0 该漏洞已被修。php解释执行是通过php解释器来决定的,这里我们使用phpstudy中的php-cgi.exe。当用户访问phpinfo.php的时候,将该文件找到交给php-cgi.exe来解释执行。修改php.ini文件中的cgi.fix.pathinfo的值为0。将phpinfo.php后缀名修改为png,重新访问页面。在指定目录下创建一个phpinfo.php文件。
漏洞IIS_7.o7.5解析漏洞
过期的秋刀鱼
11-04 1137
漏洞不是由于代码或者框架引起,而是由于。来执行,解释完的执行结果再返回给浏览器。IIS想要运行PHP,中间有个技术叫。的方式访问,是因为下面的对勾没有勾上。是因为php的安全 选项。的方式解析php文件。
Win10下部署IIS,并运行php项目
07-22
为了在Win10下部署IIS,首先需要开启Windows功能中的IIS。具体步骤如下: 1. 打开控制面板,选择“程序”选项,点击“打开或关闭Windows功能”。 2. 在Windows功能列表中,勾选“Internet Information Services”...
64bit win7+MySql+iis7.5配置文档
09-04
【标题】: "在64位Win7系统中配置MySQL和IIS7.5的步骤详解" 【描述】: "本文档将详细指导如何在64位Windows 7操作系统上手动配置MySQL数据库服务和IIS7.5 web服务器,旨在帮助用户搭建一个稳定且高效的开发环境。" ...
IIS 7.5 解析错误 命令执行漏洞解决方案
09-30
主要介绍了IIS 7.5 解析错误 命令执行漏洞解决方案,需要的朋友可以参考下
win7 iis7.5 乱码 和 解析不了ASP的ADO连接数据库 的解决方法
09-30
### Win7 IIS7.5 乱码及无法解析 ASP 的 ADO 连接数据库问题解决方案 #### 一、背景介绍 在使用Windows 7操作系统自带的Internet Information Services (IIS) 7.5版本搭建Web服务器时,可能会遇到一些问题,比如...
IIS部署.NET+Vue项目.docx
05-25
iis 部署 .net + vue 项目知识点总结 在本文中,我们将对 iis 部署 .net + vue 项目的知识点进行总结,涵盖从项目的基本环境到 api 的配置、https 的设置、Swagger 的使用等多个方面。 一、基本环境 首先,我们...
中间件之IIS7.5漏洞
奕家
07-02 5452
1)系统win10专业版 2)PHPstudy版本2016 ''' IIS7.5的漏洞是由于php配置文件中,开启了cgi.fix_pathinfo,而这并不是iis7.5本身的漏洞。 当安装完成后, php.ini里默认cgi.fix_pathinfo=1,对其进行访问的时候,在URL路径后添加.php后缀名会当做php文件进行解析漏洞由此产生 注:在进行实际的测试的时候,发漏洞并没有产生,后来发要设置FastCGI为关闭,该项好像是用来处理数据文件 ''' ...
iis7.5文件解析漏洞
box
02-05 6215
文件解析漏洞总结 0x00 常见的文件解析漏洞 文件上传漏洞通常与Web容器的解析漏洞配合利用 常见Web容器有IIS、Nginx、Apache、Tomcat等 0x01 IIS 7.0/IIS 7.5/Nginx <=0.8.37 解析漏洞 在默认Fast-CGI开启状况下,在一个文件路径(/xx.jpg)后面加上/xx.PHP会将 /xx.jpg/xx.php 解析为 php 文件。 开启CGI 添加模块映射 修改php.ini文件 cgi.fix_pathinfo=0 修改为 cgi
IIS7.x漏洞原理和
qq_35224240的博客
04-22 5972
一、漏洞环境安装 安装IIS7.x 1)打开控制面板–点击卸载程序 2)打开或关闭Windows功能 3)选择相关要打开的功能 点击确认等待几分钟即可 4)在开始出搜索iis,打开IIS Manager 5)在浏览器访问127.0.0.1显示下面页面表示安装成功 安装小皮 phpstudy 小皮是结合上面IIS7用于的,用于联动php和IIS的 当然,也可以不装小皮,通过限制CGI来联动PHP 1)点击安装程序 默认下一步 2)安装VC11 下载地址:https://www.php.cn
[漏洞]IIS 7.0/7.5解析漏洞
feigerger的博客
09-11 265
点击请求限制按钮,在IIS 7.0/7.5版本上默认不勾选,IIS10.0版本为勾选。在php.ini文件中找到cgi.fix_pathinfo,修改为0。添加模块映射,可执行文件选择php解释器。安装IIS时勾选上CGI。
iis_7.0/7.5_解析漏洞
acdcccc的博客
09-08 431
iis 7.0/7.5 解析漏洞
iis7.5+mysql+php配置与漏洞
m0_46576302的博客
09-06 942
原理:IIS7.5的漏洞是由于php配置文件中,开启了cgi.fix_pathinfo,而这并不是iis7.5本身的漏洞
IIS7.0、7.5解析漏洞利用
L_KevinK的博客
09-26 7383
IIS7.0、7.5解析漏洞利用(1)查询网站配置信息(2)WebShell制作(3)上传WebShell(4)连接WebShell (1)查询网站配置信息 (2)WebShell制作 新建文本文档,粘贴对应网站脚本一句话,保存后讲txt改为png或jpg图片格式,亦可制作图片木马。 建议使用免杀马 (3)上传WebShell 上传制作好的webshell图片,找到图片存储路径 (4)连接...
IIS5.x-6.x解析漏洞介绍
07-15
I(Internet Information Services)是微软公司开发的一款用于托管和提供Web服务的服务器软件。在IIS 5.x和6.x版本中存在一种解析漏洞,该漏洞允许攻击者绕过服务器上的某些安全限制来执行恶意代码。 这个漏洞的原因是由于IIS在处理某些特定类型的请求时存在缺陷。攻击者可以构造一些特殊的请求,使得IIS无法正确解析请求的文件类型,而将其当作脚本文件来执行。这样一来,攻击者就能够在服务器上执行任意的恶意代码,包括上传恶意文件、执行系统命令等。 这个漏洞的危害性非常高,因为攻击者可以完全控制服务器上的操作,导致敏感信息泄露、服务器被入侵、网站遭到篡改等安全问题。 为了防止这个漏洞的利用,建议用户及时升级到更高版本的IIS,并及时应用相关的安全补丁。此外,还可以通过配置服务器的访问控制列表(ACL)来限制对IIS目录的访问,以及使用Web应用程序防火墙(WAF)等安全措施来进一步加固服务器的安全性。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值