IIS 6.0 解析漏洞的一些用法(二)

最新推荐文章于 2024-07-30 19:34:57 发布
原创 最新推荐文章于 2024-07-30 19:34:57 发布 · 219 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库

本文介绍了 IIS 6.0 中的一个严重漏洞及其利用方法,包括通过特殊文件名绕过上传限制及利用数据库备份功能触发漏洞。

    这个漏洞的危害非常严重,我目前看到的比较多的应用有几个

 1 。 数据库备份上得使用,很多信息管理系统,cms,网城等等,在拿到了管理员账户后,需要上传木马时,很多地方都限制了asp或者asa的上传,这时采用上传一个a.jpg,然后在备份的时候备份为../a.asp/b.mdb,因为在很多情况下数据库备份都会做限制,不允许自定义备份后缀名,但是你可以自定义备份路径,从而构成a.asp这种目录从而触发iis6.0的解析漏洞。

2 。直接使用,即上传a.asp;.jpg这种有些时候是过不去的,但是如果限制不严是可以通过的,实际上文件名只要是a.asp;....分好后面可以自定义各种字符,空格都可以,例如这种怪异的格式也会被iis当作asp来执行,

写道
3.asp; 123

  

IIS6.0文件解析漏洞复现及原理解析
wangyuxiang946的博客
07-06 1万+
IIS文件解析漏洞原理 IIS6.0存在文件解析漏洞 , 文件名中分号( ; )后面的内容不会被解析 比如 a.asp;jpg 文件 会被IIS解析成 a.asp
IIS6.0漏洞学习-PUT漏洞和短文件名解析漏洞
willow_liang的博客
10-20 755
简介 IIS是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。最初是Windows NT版本的可选包,随后内置在Windows 2000、Windows XP Professional和Windows Server 2003-起发行,但在Windows XP Home版本_上并没有IISIIS是一 -种Web (网页)服务组件,其中包括Web服务器、FTP服务器、 NNTP服务器和SMTP服
深入剖析IIS 6.0
FreeXploiT
12-14 4805
关于IIS 6.0的故事一言难尽,如果你已经在IIS技术上有所投资,IIS 6.0无疑是一个动人的、非听不可的话题。鉴于IIS 6.0和以前版本的差别实在太大了,只用一篇文章很难做到面面俱到,所以本文首先探讨IIS 6.0的安装、体系结构以及由于体系结构方面的差异带来的全新服务功能,下一篇文章接着介绍IIS 6.0的新特性——其中有些你可能还没有听说过,另外还有默认配置方面的一些重要变化,这些变化
iis6.0解析漏洞
cxrpty的博客
02-17 1095
实验环境:iis6.0 实验步骤: 目录解析漏洞: 1.在C:\Inetpub\wwwroot目录下创建1.asp目录,并在目录中创建1.txt文件,在文件中写入下面内容 2.访问该路径 文件解析漏洞: 1.iis目录下创建一个以下格式的文件 2.访问该路径 ...
IIS 6.0/7.0/7.5、Nginx、Apache 等 Web Service 解析漏洞总结
Yatere的天平秤
09-12 2071
[+]IIS 6.0 目录解析:/xx.asp/xx.jpg  xx.jpg可替换为任意文本文件(e.g. xx.txt),文本内容为后门代码 IIS6.0 会将 xx.jpg 解析为 asp 文件。 后缀解析:/xx.asp;.jpg     /xx.asp:.jpg(此处需抓包修改文件名) IIS6.0 都会把此类后缀文件成功解析为 asp 文件。 (站长评论:IIS6.0解析漏洞
IIS6.0详解
weixin_34319111的博客
08-30 278
IIS6.0详解 2008-04-12 12:52:14  标签:详解 IIS6.0    [推送到技术圈] 版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。[url]http://simeon.blog.51cto.com/18680/71189[/url] ...
iis 6.0 上传漏洞浅析与解决方案
weixin_34082789的博客
08-16 253
http://bbs.qibosoft.com/read-forum-tid-407332.htm http://blog.sina.com.cn/s/blog_7300c7d90100ow4e.html http://wenku.baidu.com/link?url=XO1bldTdG6KaRdStrYrXWlwBNBYC6OfsfpmVVvVoBNuyrQUti9h0U2kSL...
精选资源
第一节 中间件解析漏洞-IIS6.0-01
09-15
IIS6.0解析漏洞 IIS6.0中间件解析漏洞是指在IIS6.0服务器中,因其解析机制存在漏洞,导致攻击者可以上传恶意文件。该漏洞存在于IIS6.0服务器的解析机制中,当建立*.asa、*.asp格式的文件夹时,其目录下的任意文件都...
文件上传漏洞IIS6.0解析漏洞详解与防御策略
本文档是一篇网络安全自学教程,由作者在优快云博客分享,旨在帮助读者理解并防御文件上传漏洞IIS6.0解析漏洞。作者强调,他并不支持利用这些知识进行非法活动,而是希望通过教育和实践来提升大家的安全意识和防护...
文件解析漏洞-iis
最新发布
m0_63944205的博客
07-30 1026
用windowserver2003安装IIS测试。
彻底掌握IIS6.0功能及应用详解
suilam的专栏
09-25 1559
 关于IIS 6.0的故事一言难尽,如果你已经在IIS技术上有所投资,IIS 6.0无疑是一个动人的、非听不可的话题。鉴于IIS 6.0和以前版本的差别实在太大了,只用一篇文章很难做到面面俱到,所以本文首先探讨IIS 6.0的安装、体系结构以及由于体系结构方面的差异带来的全新服务功能,下一篇文章接着介绍IIS 6.0的新特性——其中有些你可能还没有听说过,另外还有默认配置方面的一些重要变化,这
IIS6.0漏洞解析漏洞复现及防御——文件解析、目录解析
7Riven's blog
12-06 4534
漏洞成因 IIS 6.0 在处理含有特殊符号的文件路径时会出现逻辑错误,从而造成文件解析漏洞。一般配合服务器的文件上传功能使用,以获取服务器的权限。 IIS6.0在网站下对创建目录格式没有做严格的过滤限制措施,导致目录解析漏洞漏洞类型 文件解析漏洞、目录解析漏洞 漏洞细节 验证有哪些文件格式被IIS6.0当做asp格式执行? 从上述测试结果来看,IIS6.0下可...
IIS 6.0 优化
cxzhq2002的杂记
09-07 1032
IIS 6.0 应用了新的进程模型。内核模式的HTTP侦听程序(Http.sys)接收并发送HTTP请求(甚至可以使用它的响应缓存来满足请求)。工作进程注册URL子空间,Http.sys将请求发送到相应的进程(如果使用应用程序池,则发送到进程集合)。图 4 展示了IIS 5.0IIS 6.0进程模型之间的差异。IIS 5.0使用WinSock在端口80接受连接。请求由 inetinfo 进程
IIS6.0日志文件分析代码_1生成访问字段记录到数组中
xqf222的专栏
06-19 1931
IIS6.0日志文件分析代码_1生成访问字段记录到数组中,只能处理小体积的LOG文件.系统构思有些欠缺.比如文本文件读取到100行好象就CPU占用率很高.然后程序卡死.升级可考虑用文本文件分割方法设计.升级可考虑直接读一条记录马上写到数据里.//添加数据库文件IO引用using System.IO;using System.Text;using System.Data;using System
IIS 5.x/6.0解析漏洞
weixin_33717117的博客
08-06 674
IIS 5.x/6.0解析漏洞IIS 6.0解析利用方法有两种1.目录解析/xx.asp/xx.jpg2.文件解析1.asp;.jpg第一种,在网站下建立文件夹的名字为.asp、.asa 的文件夹,其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。例如创建目录 1.asp,那么/1.asp/1.jpg将被当作asp文件来执行...
IIS7&7.5解析漏洞
热门推荐
笨笨的专栏
07-06 5万+
IIS7/7.5在Fast-CGI运行模式下,在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg/xx.php 解析为 php 文件。
两篇介绍IIS的文章
weixin_34335458的博客
09-10 110
http://blog.csdn.net/heaven_pl/archive/2008/02/19/2106572.aspx http://blog.csdn.net/heaven_pl/archive/2008/02/19/2106579.aspx   附加: 什么是应用程序池呢?这是微软的一个全新概念:应用程序池是将一个或多个应用程序链接到一个或多个工作进程集合的配置。因为应用程序池中...
IIS 6.0 远程溢出漏洞
瞎几把学
03-20 4957
<br />Oday摘要: 发布日期:2010-10.03发布作者:FoXHaCkEr影响版本:IIS6.0官方地址:Microsoft漏洞类型:远程溢出漏洞描述:微软IIS6.0一个远程溢出漏洞代码exp:#!/usr/bin/perl#*********!!!WARNING!!!*********#*FORSECURITYTESTiNGONLY!*#***********************************#  <br /><br />发布日期:2010-10.03<br />发布作者:Fo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值