简介
IIS(Internet Information Server,互联网信息服务)是一种Web(网页)服务组件,其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面,它使得在网络(包括互联网和局域网)上发布信息成了一件很容易的事。
一、安装IIS服务(演示:windows sever 2003)
1、
2、
3、
4、
5、
6、进入http://localhost 显示建设中/显示目录则开启iis成功
三、放置网站
默认目录C/inetput/wwwroot/
四、配置IIS
1、
2、
3、
4、
5、
7、访问网站,若出现401.5- 未经授权:ISAPI/CGI 应用程序授权失败。
解决办法:网站的虚拟目录权限上加上everyone 的读取权限就解决了!没有效果点高级>勾选继承父级和下面的选项
8、访问网站:
五、IIS 6.x漏洞
1、基于文件名该版本默认会将 *.asp;.jpg 此种格式的文件名,当成Asp解析,原理是服务器默认不解析; 号及其后面的内容,相当于截断。
2、基于文件夹名该版本默认会将 *.asp/目录下的所有文件当成Asp解析。
3、除了以上之外,还默认会将扩展名为.asa,.cdx,.cer解析为asp
解决办法:
- 限制上传目录执行权限,不允许执行脚本。
- 不允许新建目录。
- 上传的文件需经过重命名(时间戳+随机数+.jpg等)
六、IIS 7.x漏洞
版本在Fast-CGI运行模式下,在任意文件,例:test.jpg后面加上/.php,会将test.jpg 解析为php文件。
解决办法:
配置cgi.fix_pathinfo(php.ini中)为0并重启php-cgi程序