IIS 5.X/6.0解析漏洞 |
首先什么是解析漏洞呢?
解析漏洞主要说的是一些特殊文杰被iis,apache,nginx在某种情况下解析成脚本文件格式的漏洞! 👂🧳🍞♀🦊 IIS 5.x/6.0解析漏洞: 解析的方法有两种 🤌🔥🥣🈳🐴 1.目录解析 例如:/xxx.asp/xxx.jpg 在网站下建立文件夹的名字为xxxxx.asp、xxxxx.asa的文件夹其目录内的任何扩展名的文件都被iis当作asp文件来解析并执行。 👈🚤🍪❓ 例如:在www下创建guhei.asp文件夹,那么在文件夹中放入一个1.jpg的一句话(/guhei.asp/1.jpg)将被当作asp的文件来执行 2.文件解析 例如:guhei.asp;.jpg 第二种,在iis6.0下,分号后面的不被解析!这样上传上去,如果不被重命名,解析的时候会自动过滤分号后边的字符,这样你访问***.asp;1.jpg,就相当于你在访问***.asp。 🤳🌧🌰📶🐮 这里要提两点:1、不能在地址栏直接访问***.asp,因为这个文件是不存在的。2、图片不能被重命名,一旦被重命名,就失去了***.asp;1.jpg这样的结构,就不会被解析成为asp文件,而是解析成为图片文件。这也就是大多数童鞋为啥以为上传了图片马,却不能用的道理。 👴👙💰😴👂 评分
帖子热度 1万 ℃
|
|
Apache的解析漏洞...好像12年的时候就出现了吧?现在难道还会有如此低级的漏洞?
|
而且linux,没有x权限的,你怎么执行服务器都不会鸟你。。
|