IIS安装并验证IIS6或7的漏洞及修补

最新推荐文章于 2024-01-02 14:15:00 发布
最新推荐文章于 2024-01-02 14:15:00 发布
阅读量486 收藏 3
点赞数 1
分类专栏: web安全防护 中间件 文章标签: iis 中间件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43526443/article/details/106911506
版权

简介

IIS(Internet Information Server,互联网信息服务)是一种Web(网页)服务组件,其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面,它使得在网络(包括互联网和局域网)上发布信息成了一件很容易的事。

一、安装IIS服务(演示:windows sever 2003)

1、在这里插入图片描述
2、在这里插入图片描述
3、
在这里插入图片描述
4、
在这里插入图片描述
5、
在这里插入图片描述
6、进入http://localhost 显示建设中/显示目录则开启iis成功
在这里插入图片描述

三、放置网站

默认目录C/inetput/wwwroot/
在这里插入图片描述

四、配置IIS

1、
在这里插入图片描述
2、
在这里插入图片描述
3、
在这里插入图片描述
4、
在这里插入图片描述
5、
在这里插入图片描述
7、访问网站,若出现401.5- 未经授权:ISAPI/CGI 应用程序授权失败。

解决办法:网站的虚拟目录权限上加上everyone 的读取权限就解决了!没有效果点高级>勾选继承父级和下面的选项

8、访问网站:
在这里插入图片描述

五、IIS 6.x漏洞

1、基于文件名该版本默认会将 *.asp;.jpg 此种格式的文件名,当成Asp解析,原理是服务器默认不解析; 号及其后面的内容,相当于截断。
在这里插入图片描述
2、基于文件夹名该版本默认会将 *.asp/目录下的所有文件当成Asp解析。
在这里插入图片描述
3、除了以上之外,还默认会将扩展名为.asa,.cdx,.cer解析为asp

解决办法:

  1. 限制上传目录执行权限,不允许执行脚本。
  2. 不允许新建目录。
  3. 上传的文件需经过重命名(时间戳+随机数+.jpg等)

六、IIS 7.x漏洞

版本在Fast-CGI运行模式下,在任意文件,例:test.jpg后面加上/.php,会将test.jpg 解析为php文件。
在这里插入图片描述

解决办法:

配置cgi.fix_pathinfo(php.ini中)为0并重启php-cgi程序
在这里插入图片描述

土豆.exe
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Web中间件常见安全漏洞总结
qq_40907977的博客
08-14 6492
IIS IIS是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。IIS目前只适用于Windows系统,不适用于其他操作系统。 解析漏洞 IIS 6.X 基于文件名 该版本 默认会将 *.asp;.jpg 此种格式的文件名,当成Asp解析,原理是 服务器默认不解析; 号及其后面的内容,相当于截断。 基于文件夹名 该版本 默认会将 *.asp/目录下的所有文件当成Asp解析。 另外,IIS6.
IIS修复IIS出现错误后完全重装的方法
01-10
这样并不是保险的做法,很多人在重装IIS后问题依旧。 所以建议在任何情况下都用以下步骤重新安装IIS: 代码如下: 1、把IIS卸载。 2、把 %windir%\system32\inetsrv 删除。 3、把%windir%\iisX.log删除,X 是IIS版本。 4、把 \inetpub\ 目录删除。 (以上操作可以在安全模式中进行。) 5、重装IIS。    如何排除IIS不能显示ASP网页分类:默认栏目 在分析问题以前,先尝试访问网站中的纯静态网页(以htm或者html为后缀的页面),如果不能正常显示,说明问题本身不在ASP上。 检查IIS的设置,看是否设置了“应用程序设置-执行
web漏洞之中间介漏洞
小白的博客
05-08 587
IIS 解析漏洞 IIS6.x 基于文件名 将 *.asp;.jpg 此种格式的文件名,当成asp解析, 原理:服务器默认不解析; 号及其后面的内容,相当于截断。 基于文件夹名 将 *.asp/目录下的所有文件当成asp解析 其他 默认会将扩展名为.asa,.cdx,.cer解析为asp 漏洞修复 限制上传目录执行权限,不允许执行脚本 不允许新建目录。 上传的文件需经过重命名(时间戳+随机数+.jpg等) IIS7.x 漏洞描述 CGI运行模式 CGI即通用网关接口(Common Gat
IIS中间件渗透总结
小小猪的博客
11-17 2162
IIS中间件渗透总结 简介: IIS(inernet information services)互联网信息服务是 Microsoft 公司提供的可扩展 web 服务器,支持 HTTP、HTTP/2、HTTPS、FTP、FTPS、SMTP 和 NNTP 等。起初用于windows NT系列,随后内置在windows 2000、windows XP 和后续版本一起发行。IIS目前只支持 windows 系统,不适用于其它操作系统 IIS 6.x 安装IIS6.x安装需要 Windows Server
web常见中间件漏洞IIS中间件漏洞
qq_52486507的博客
03-30 1081
1.IIS是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。2.IIS一般适用于windows系统,而不适用于其它系统。
iis常见漏洞(中间件常见漏洞
qq_56438857的博客
08-17 8617
漏洞的意义:1、 猜解后台地址2、 猜解敏感文件,例如备份的rar、zip、.bak、.sql文件等。3、 在某些情形下,甚至可以通过短文件名web直接下载对应的文件。该漏洞的局限性:1、 只能猜解前六位,以及扩展名的前三位。2、 名称较短的文件是没有相应的短文件名的。3、 不支持中文文件名4、 如果文件名前6位带空格,8.3格式的短文件名会补进,和真实文件名不匹配5、 需要IIS和.net两个条件都满足。...
iis 服务器修复,老司机应对win7系统搭建IIS服务器的修复方法
weixin_39624360的博客
08-13 537
win7电脑系统深受广大电脑爱好者的喜欢,可是很多爱好者在操作过程中经常会遇见win7系统搭建IIS服务器的难题。诸多使用者计算机技术还只是菜鸟阶段,有关win7系统搭建IIS服务器的情况,不知如何搞定。许多用户都来征询小编win7系统搭建IIS服务器当怎么样操作?现实中遵循以下顺序  1.打开控制面板,选择并进入“程序”,双击“打开或关闭Windows服务”,在弹出的窗口中选择“Internet...
llS6 and llS7解析漏洞
forinput的博客
03-01 536
llS6 and llS7解析漏洞
IIS网站——SSL安全加密机制
Tech my Life
04-25 2080
 Windows网络操作系统内置的IIS是大家最常用的Web服务器。但在系统默认配置下,IIS使用的是“HTTP协议”以明文形式传输数据,没有采用任何加密手段,传输的重要数据很容易被窃取。这对于一些安全性要求高的网站来说,是远远不够的。为了保证重要数据的万无一失,IIS也提供了SSL安全加密机制,下面就向大家介绍如何在IIS服务器中使用SSL安全加密机制。生成证书请求文件   笔者以Win
IIS服务器】IIS服务器常见漏洞
时乙的博客
11-05 4029
文件解析漏洞 1、目录解析漏洞 2、文件名解析漏洞 3、畸形解析漏洞 IIS 短文件漏洞 PUT 任意文件写入 IIS是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。 IIS目前只适用于Windows系统,不适用于其他操作系统。 文件解析漏洞 1、目录解析漏洞IIS5.x/6.0 中,默认会将**.asp(*.asa、*.cer、*.cdx )目录下的.
javaWeb安全验证漏洞修复总结
08-26
目前很多业务都依赖于互联网,例如说网上银行、网络购物、网游等,很多恶意...同时,对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。
IIS6.0 IIS,互联网信息服务
08-23
四、在Vista系统中安装IIS7.0相对于早先的版本,IIS 7.0 带来了许多引人注目的新特色新功能,比如基于 Microsoft .NET Framework 的全局配置文件,可简单地通过文本编辑器或 Microsoft Visual Studio 编辑;...
网站安全狗IIS版 v4.0.18081.exe
07-17
6.修复漏洞防护的禁止查询数据库、禁止联合查询、简单的and or方式这三条规则可能造成的误拦截问题。 7. 修复上传PHP文件在win2012系统下绕过的问题。 8. 修复界面在获取服云版本信息的时候界面可能会卡住的问题。...
tomcat6、7、8、9, maven3.5
06-27
3.1版本包含对Apache Tomcat 3.0的几个改进,包括servlet重新加载,WAR文件支持和为IIS和Netscape Web服务器添加的连接器。最新的维护版本3.1.1包含了对安全问题的修复。Apache Tomcat 3.1.x没有进行积极的开发。...
网络安全进阶学习第六课——服务器解析漏洞
p36273的博客
07-03 1435
解析漏洞主要是一些特殊文件被Apache、IIS、Nginx等Web服务器在某种情况下解释成脚本文件格式并得以执行而产生的漏洞影响范围:2.4.0~2.4.29版本此漏洞形成的根本原因,在于,正则表达式中, 正则表达式中,正则表达式中不仅匹配字符串结尾位置,也可以匹配\n 或 \r ,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。上传文件test.php. 抓包 修改 php后面的点() 为 换行() 访问 test.php%0aApache默认一个文件可以有多
IIS 解析漏洞复现
来日可期的博客
10-12 2653
IIS 7.0/7.5 解析漏洞,在路径的末尾添加一个/.php,页面报错的原因是这里使用的是IIS10.0 该漏洞已被修复。php解释执行是通过php解释器来决定的,这里我们使用phpstudy中的php-cgi.exe。当用户访问phpinfo.php的时候,将该文件找到交给php-cgi.exe来解释执行。修改php.ini文件中的cgi.fix.pathinfo的值为0。将phpinfo.php后缀名修改为png,重新访问页面。在指定目录下创建一个phpinfo.php文件。
windows操作系统实验之iis服务验证
m0_55525922的博客
04-16 316
打开浏览器输入IIS服务器IP地址。显示IIS7,IIS服务安装正常。使用测试主机测试IIS服务。
IIS的配置及漏洞验证
weixin_43696861的博客
06-22 398
首先在Windows server 2003 上安装IIS 6 一、配置好IIS并进入IIS管理器 1.新建网站时,站名自取,建好之后,右击新建好的网站,点击属性. 2.进入后点击主目录,再点击主目录下的配置. 3.在调试标志的两个框里打勾. 4.在选项中启用父路径. 5. 1)点击文档. 2)添加index.php并将其上移之第一行. 3)点确定. 6.将框中的区域选项修改为允许. 7.运行成功. 二、IIS漏洞验证 漏洞一 II
深入浅出带你学习IIS中间件常见漏洞
qq_44005305的博客
01-02 1231
在渗透过程中我们经常会思考如何去进行渗透,假如给了我们一个有很多中间件的网站我们要如何进行渗透呢?于是本人准备写一些包含常见中间件漏洞攻击的总结,希望可以帮到大家在面临不同渗透环境时会有渗透思路,本篇文章就先给大家介绍IIS中间件漏洞。简单总结了一下IIS中间件的常见漏洞以及攻击方法不知道大家学会了没有,文章主要还是讲了IIS中解析漏洞的实现方法,有兴趣的小伙伴不妨去搭建一个靶机去测试一下,喜欢本文的小伙伴不妨一键三连支持一下。## 题外话。
iis6单独补丁文件
最新发布
01-19
5. 验证补丁的安装是否成功,可以在 IIS 6 管理界面中查看版本和相关设置。 在安装单独补丁文件之前,建议用户参考相关的微软文档、支持社区或官方论坛,了解补丁的具体作用和可能产生的影响。此外,还应该定期检查...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

土豆.exe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值