[點晴永久免費OA]當網站不允許上傳ASP/ASA等類型的文件時IIS6.0文件解析缺陷(asp,asa,cer,cdx,cgi,htr)
當前位置:點晴教程→點晴OA辦公管理信息系統
→『 經驗分享&問題答疑 』
IIS對文件解析可以用ISAPI擴展。 有的網站在上傳檢測中會用"黑名單"方法,但是有時會忽略asa、cer、cdx擴展名文件上傳,以至于webshell上傳成功。 這是因為默認情況下,IIS對其后綴名映射到了asp.dll,asp.dll又是ASP腳本的解析文件。 附圖(windows 2003 IIS6): 12.png) 另外: 上傳一個shtm文件, 內容為: <!--#include file="conn.asp"-->
直接請求這個shtm文件,conn.asp就一覽無遺,數據庫路徑也就到手啦! 解析: 至于conn.asp可以為其他,比如 config.inc.php、config.aspx 等一些數據配置文件。 該文章在 2020/4/11 2:53:58 編輯過 |
關鍵字查詢
相關文章
正在查詢... 
|
400 186 1886
