码迷,mamicode.com
首页 > Web开发 > 详细

内部文件上传系统漏洞分析溯源(墨者学院)

时间:2019-01-12 15:21:09      阅读:287      评论:0      收藏:0      [点我收藏+]

标签:info   iis   bubuko   tps   bsp   9.png   技术分享   add   文件解析漏洞   

  1. 随便发一个允许上传的文件,BP抓包,发现网站是用asp写的
    技术分享图片
    2.上传图片马,连接菜刀无法解析

    3.先猜测大漏洞IIS下文件解析漏洞,这题主要考察怎么创建文件夹的。 

    例如:在a.asp文件夹下,里面的所有文件都将被看做asp文件执行,举例:123.jpg在a.asp文件夹下就会被看做123.jpg.asp来执行。 

    而且其实它并不算一个漏洞,在这之前微软一直没有修复这个问题的原因就是,他们认为这是IIS的特性而不是漏洞。 

    4.将upload文件夹改为a.asp,连接菜刀拿到KEY

    技术分享图片

 

                                              技术分享图片

 

内部文件上传系统漏洞分析溯源(墨者学院)

标签:info   iis   bubuko   tps   bsp   9.png   技术分享   add   文件解析漏洞   

原文地址:https://www.cnblogs.com/WhiteHatKevil/p/10259595.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!