题目是一个上传的功能,要求找到key
先正常上传一个文件看看
能看出来这是一个asp的网站,iis6.0存在一个文件解析漏洞,在xxx.asp文件夹下面的任何文件格式都会按照asp的格式执行,比如xxx.asp/1.jpg就会将这和1.jpg按照asp格式执行。
既然如此,我们可以整个asp的一句话木马
将其命名为q.txt后上传,然后使用burpsuite抓包,修改以下地方为1.asp
然后上传
上传成功后用蚁剑进行连接
然后连接上去,拿到key
参考:
https://zhuanlan.zhihu.com/p/117648420
https://blog.csdn.net/weixin_41487522/article/details/106824929
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
