前言
在渗透过程中我们经常会思考如何去进行渗透,假如给了我们一个有很多中间件的网站我们要如何进行渗透呢?于是本人准备写一些包含常见中间件漏洞攻击的总结,希望可以帮到大家在面临不同渗透环境时会有渗透思路,本篇文章就先给大家介绍IIS中间件漏洞。
IIS是什么?
在学习中间件漏洞前,我们要明白IIS是什么,简单来说,IIS是一种服务,是Windows 2000 Server系列的一个组件。是一种Web(网页)服务组件,它的主要作用可以归纳为以下几点:
网页浏览
文件传输
新闻服务
邮件发送
简单了解后相信大家对于IIS是什么有个大概的了解了,下面就讲解一下IIS中间件会存在的漏洞以及利用方法。
IIS 6 解析漏洞
存在一个Web 服务器(IIS6.0), 假设我们上传服务器一个文件xino.asp;.jpg,服务器默认不解析;号后面的内容,因此xxx.asp;.jpg被当做asp文件解析,于是我们就可以通过这个解析漏洞来上传木马去进行攻击,可以看下面的例子:
我们先建立一个ASP一句话木马,内容为下:
<%eval request("XINO")%>
进入网页通过插件查看网站中间件:
发现IIS是存在解析漏洞的版本,于是我们上传XINO.asp;.jpg文件来绕过,上传成功后我们通过WEBSHELL连接工具去进行连接,密码为我们所
最低0.47元/天 解锁文章
扫一扫
1093
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
