windows2003 IIS6.0解析漏洞

最新推荐文章于 2024-07-17 20:53:13 发布
最新推荐文章于 2024-07-17 20:53:13 发布
阅读量233 收藏 1
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wutiangui/article/details/132888239
版权

一、漏洞说明
(1)当建立*.asa、.asp格式的文件夹时,其目录下的任意文件都将被IIS当做asp文件解析。
(2)当文件.asp:1.jpg IIS6.0同样会将文件当做asp文件解析。
二、搭建环境
Windows server2003安装iis6.0方法
1.在组件向导中找到【应用程序服务器】双击打开,勾选【Internet信息服务(IIS)】和【应用程序服务器控制台】,勾选后先不要那么快点确定
在这里插入图片描述

在这里插入图片描述

2.双击Internet信息服务(IIS),要注意勾选Internet信息服务管理器、万维网服务和文件传输协议(FTP)服务。(文件传输协议(FTP)服务可勾选也可不勾选,要用到这个服务的就勾选),勾选后先不要着急点确定。
在这里插入图片描述

3.双击万维网服务,勾选Active Server Pages、Internet数据连接器、WebDAV发布、万维网服务和在服务器端的包含文件。这里该勾选的已经勾选完毕,可以逐一点【确定】了。

在这里插入图片描述在这里插入图片描述

4.点击【下一步】配置组件,期间会提示需要一些文件,我们只需要将文件来源选择到刚开始解压出来的i386文件夹,点击确定即可。
Iis6.0链接:https://pan.baidu.com/s/1BXauPcwaoxD7AfczcwknCw
提取码:abcd

在这里插入图片描述在这里插入图片描述

5.配置期间会多次数显所需文件提示,和上面步骤相同,等待安装完成即可。
在这里插入图片描述

安装完成在控制面板可以调出iis
在这里插入图片描述

三、漏洞复现
*.asp;.jpg作为asp解析
*.asp/目录下的所有文件当成asp解析
C:\Inetpub\wwwroot目录下新建一个test.asp;jpg
文件内容是<%=now()%>
在这里插入图片描述

然后web里访问这个文件,发现输出时间,漏洞复现成功
在这里插入图片描述
四、IIS6.0文件解析漏洞修复方案
(1)目前尚无微软官方的补丁,可以通过自己编写的正则阻止XX.asp;.jpg类型的文件名。
(2)做好权限设置,限制用户创建文件夹

只为了拿0day
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IIS6.0文件解析漏洞
龙狼刺的博客
05-11 6229
目录 一、相关知识 1、IIS6.0解析漏洞介绍 2、IIS6.0PUT上传原理 3、IIS6.0解析文件类型 4、IIS6.0文件解析漏洞修复方案 二、环境配置 三、文件上传 1、设置代理 2、靶机环境配置 3、截取数据包 4、探测漏洞 5、创建文件,并写入一句话木马 6、复制文件并重命名,绕过拦截 四、蚁剑连接 一、相关知识 1、IIS6.0解析漏洞介绍 (1)当建立*.asa、*.asp格式的文件夹时,其目录下的任意文件都将被IIS当做asp文件解析。...
文件解析漏洞总结-IIS
热门推荐
若水斋
08-18 1万+
IIS(Internet Information Services)是微软出品的灵活、安全、易于管理的Web服务器。 在总结过Apache和Nginx的文件解析漏洞后,现在来总结下IIS文件解析漏洞。默认后缀这其实不是文件解析漏洞,但能达到和文件解析漏洞一样的效果。IIS总是和asp联系在一起。一般而言,asp程序文件的后缀为.asp,但实际上,IIS默认地还会解析其他后缀的文件为asp文件。如
中间件安全IIS 解析漏洞(利用一个图片 拿到服务器最高权限.)
网络安全领域___专研者.
04-16 4253
中间件的概括: 中间件是指提供系统软件 和应用软件 之间连接的软件,以便于软件各部件之间的沟通,特别是应用软件对于系统软件的集中的逻辑,在现代信息技术应用框架(比如:Web服务、面向服务的体系结构等中应用比较广泛.)
安装VM16,安装windows serve 2003并加载IIS6.0
Stacey_4869的博客
09-21 867
安装虚拟机VMware16,在虚拟机上安装serve2003及加载iis6.0
一步步教你在Win2003下安装IIS组件
边城浪子
11-12 9055
不管是个人用户还是企业用户都会遇到建立网站,发布网页的问题,要知道在Windows操作系统下最有效最常见的发布站点的工具就是IIS了,所以要想建立自己的站点一定要学会安装和使用IIS组件。    Windows2003中的IIS组件版本为6,他比Win2000下的IIS更加安全。所以我们有必要学习IIS6的安装。本篇文章将带领大家一起从零开始学习在Windows2003操作系统下安装IIS组件。 
windows server 2003安装iis服务器软件教程
qq_40151247的博客
07-04 2125
简单安装
文件解析漏洞小结
ZIP123Y的博客
10-31 221
前言 0x00 文件解析漏洞主要由于网站管理员操作不当或者 Web 服务器自身的漏洞,导致一些特殊文件IIS、apache、nginx 或其他 Web服务器在某种情况下解释成脚本文件执行。从而导致解析漏洞的出现 IIS解析漏洞 1:目录解析(6.0),当一个目录后缀asp或asa时,此目录所有文件都会被当作asp脚本文件执行 IIS6.0默认可执行文件还包括 xxx.asa xxx.cer xxx.cdx三种 2:文件解析 xxx.asp;.jpg也会被当作a...
IIS6.0解析漏洞修复-01
09-15
IIS6.0解析漏洞修复-01 IIS6.0解析漏洞修复Web安全训练营的重要一课,今天我们来讨论IIS6.0解析文件类型和修复方案IIS6.0解析文件类型 IIS6.0解析文件类型是指IIS6.0服务器如何处理不同的文件类型。...
29.文件上传漏洞IIS6.0解析漏洞及防御原理(二)1
08-03
文件上传漏洞IIS6.0解析漏洞及防御原理(二)1 在网络安全领域,文件上传漏洞和服务器解析漏洞是常见的攻击手段,这篇文章将深入探讨这两个主题,并提供防御策略。 一. 文件上传漏洞之扩展名限制 1. PHP345文件...
windows sever 2003 i386iis6.0
03-05
本文将详细解析Windows Server 2003 i386架构下的IIS6.0配置过程,以帮助用户更好地理解和操作这一关键服务。 一、IIS6.0简介 IIS6.0Windows Server 2003中集成的Web服务组件,它允许用户创建和管理Web站点,支持...
Windows Server 2003 IIS 服务器组件完全安装包 IIS 6.0
10-16
测试平台: Windows Server 2003 SP1 Windows Server 2003 sp2 该软件包含WinServer 2003版本应用程序服务器全部组件,按以下步骤操作,完全能正常安装。 IIS 6.0 适用于Windows server 2003系统安装步骤如下: 开始---控制面板----添加/删除程序----添加/删除Windows组件(A)----应用程序服务器--- 将解压后的IIS文件路径复制到"文件复制来源"输入框(会出现多次,就多粘贴几次)--完成. 如出现需要"插入安装光盘"这类的提示,继续粘贴该路径即可. 如果在虚拟机环境下安装Windows server 2003 可能会出现蓝屏现象,部分解决方法如下。 1.升级虚拟机软件,至最新版本 2.更换虚拟机软件,可选择微软全免费虚拟机工具 3.如果使用VMware Workstation 在创建虚拟硬盘的时候注意选择设备模式,SCSI和IDE都试试,如果没驱动而且用绿色版VM,就选择IDE模式.
Win2003 IIS 6.0 假死问题解决方法 图文教程
09-30
在IT行业中,Windows Server 2003操作系统搭配IIS 6.0是常见的Web服务器配置,但有时可能会遇到性能问题,例如“假死”现象。这种问题通常表现为服务器响应速度慢,CPU占用率极高,其中最常见的元凶是w3wp.exe进程。...
IIS6.0最最完整版
05-02
IIS 6.0 全面解析IIS(Internet Information Services)是微软公司推出的一款Web服务器应用程序,主要用于提供HTTP、FTP、SMTP和NNTP等网络服务。IIS 6.0作为其第六个主要版本,发布于2003年,与Windows ...
安装 Windows Server 2003 IIS6.0 详解(图)
爱分享~爱开发
04-26 1838
首先,请自动准备Windows Server 2003 系统光盘,如果您没有光盘,可以下载IIS6.0安装包,如果系统是64位,请下载64位的安装包。 第一步,打开控制面板,双击【添加或删除程序】图标,在弹出的【添加或删除程序】窗口中选择【 添加/删除Windows组件(A)】,然后会弹出Windows组件向导 我们选择【应用程序服务器】 然后单击【详细信息(d)...】会出现【应用程
提升无线网络安全:用Python脚本发现并修复WiFi安全问题
m0_68483928的博客
07-17 464
文章详细介绍了如何使用Python脚本和一些强大的开源工具来捕获和测试WPA/WPA2握手。通过上述步骤,您可以在本地测试WiFi密码的安全性,并了解其潜在的漏洞。最后,选择指定密码本进行爆破(我这里的是从网络上收集的,大家可以自行去收集,或者评论或私信我获取)在本文中,我们将介绍并展示如何使用Python脚本来破解WiFi密码。首先,它会验证路由器的MAC地址(BSSID)是否格式正确,例如00:77:88:33:44:55。工具,通过提供的单词表文件来获取密码。·命令查看路由器的网卡地址,并输入。
web安全之跨站脚本攻击xss
奔跑的小猪仔
07-17 982
xss 跨站脚本攻击。它指的是恶意攻击者往web页面里插入恶意js代码,当用户浏览该页之时,嵌入其中web里面的js代码会被执行,从而达到恶意的特殊目的。
网络安全-网络安全及其防护措施8
LS_Ai的博客
07-17 1176
数据中心网络架构是指数据中心内部网络的设计和结构,其目的是提供高性能、高可用性和高扩展性的网络连接。合理的数据中心网络架构能够支持大规模数据处理和传输,满足数据中心的业务需求,提高整体运营效率。负载均衡是一种分配网络流量和计算任务的方法,旨在优化资源利用率、提高系统性能和增强服务可用性。通过将请求分配到多个服务器上,负载均衡避免了单点故障和性能瓶颈,确保系统稳定和高效运行。网络安全策略是指为保护网络和信息系统的安全而制定的一系列规则和措施。
2024年对网络安全专业的观点解析
最新发布
goodxianping的专栏
07-17 540
网络安全专业的毕业生能够适应多个行业和岗位,包括但不限于政府部门、金融机构、大型互联网公司、电信运营商、科研机构的安全团队。学历较低、经验不足的大量初级从业人员与企业的需求不匹配,一方面找工作难,一方面企业招聘不到合适的安全人员,导致供需矛盾。在网络安全领域,学历并非衡量一个人能力的唯一标准,但普遍较低的学历水平确实反映了行业人才结构的某些问题。张雪峰对网络安全专业的看法是积极和乐观的。随着信息时代的到来,各类企业和组织对网络安全的需求越来越大,使得该专业的毕业生在市场上拥有很大的需求量。
网络安全----web安全防范
weixin_55357256的博客
07-16 694
以下代码用来防范流行的DDoS攻击,ARP欺骗,CC攻击,XXS攻击,对输入的恶意代码进行过滤,嵌入到web程序可以很好的防范网络攻击,但如果想要更好的防范网络攻击,还需要更加复杂的配置和更硬核的硬件。print(f"可能的 CC 攻击针对资源 {resource} 检测到")# 用于检测 CC 攻击的函数(简单示例,通过监测短时间内对同一资源的请求频率)# 用于检测 XSS 攻击的函数(简单示例,检查输入中是否存在可疑脚本标签)# 用于检测 DDoS 攻击的函数(简单示例,通过监测短时间内的连接数量)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值