摘要:
概括: 从技术角度分析IIS6文件名解析漏洞的原理与IIS7的相关情况。a.IIS6错误解析文件类型现象1、当WEB目录下,文件名以 xxx.asp;xxx.xxx 来进行命名的时候,此文件将送交asp.dll解析(也就是执行脚本)2、当WEB目录下,在访问以 xxx.asp 命名的目录下的任意文件 阅读全文
摘要:
IIS 6.0 1.目录解析:/xx.asp/xx.jpg xx.jpg可替换为任意文本文件(e.g. xx.txt),文本内容为后门代码 IIS6.0 会将 xx.jpg 解析为 asp 文件。 2.后缀解析:/xx.asp;.jpg /xx.asp:.jpg(此处需抓包修改文件名) IIS6.0 阅读全文