为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 IT技术 安全攻防 查看内容

Windows 2003 Enterprise Edition IIS6 .ASP目录执行缺陷

2009-2-4 06:24| 投稿: security

摘要: 写这篇文章的前几天我发现了IIS6更大的漏洞,让我高兴了整整24小时.可惜的是那个漏洞是我手工配置出来的.实现方法是将ASP后辍改为JPG后辍,将JPG复制到IIS发布目录中,发现JPG中的ASP代码...
写这篇文章的前几天我发现了IIS6更大的漏洞,让我高兴了整整24小时.可惜的是那个漏洞是我手工配置出来的.实现方法是将ASP后辍改为JPG后辍,将JPG复制到IIS发布目录中,发现JPG中的ASP代码会正确执行。看我是如何配置出的错误,这个方法也可以用来配置后门。 Windows 2003 Enterprise Edition是微软一款新推出的操作系统。 Windows 2003 IIS6处理文件夹扩展名的时候出错,导致放在该目录中的JPG图片会自动执行其中的ASP代码。当JPG后辍的文件含有ASP代码都会被执行。当然不只是JPG后辍才行。 IIS6在处理含有特殊符号的URL都会被屏蔽,默认并不支持ASP脚本运行,相对WIN2000要安全些.经过几天的努力发现新建一个.asp后辍的文件夹,将asp木马文件放在该文件夹中,asp文件可以用JPG后辍。并不影响JPG中的ASP代码运行。 Windows 2000 IIS5处理JPG图片中如包含有Html及ASP代码,只会执行Html代码,而不会执行JPG图片中的ASP代码。所以Windows 2000 IIS5中不存在这个漏洞。这个漏洞很明显是由.asp结尾的文件名称所导致,属于IIS6设计缺陷。 手工启用ASP脚本步骤如下:点击Internet信息服务(IIS)管理器àWEB服务扩展à启用Active Server Pages 启用之后你的服务器就可以运行ASP脚本。 欢迎更多朋友与我交流,谢谢海阳顶端网编写的asp木马。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部