[漏洞分析] 最新win2003 II6解析漏洞实战及应用

3 主题	0 回帖	0 积分

热心网友

金币: 0
阅读权限: 220
精华: 0
威望: 0
贡献: 0
在线时间: 0 小时
注册时间: 2008-1-2

发消息

发表于 2009-11-23 00:29:22 | 显示全部楼层 |阅读模式

严重程度：高
威胁程度：突破格式限制
错误类型：不提示
利用方式：客户机模式
受影响系统
Microsoft Windows Server 2003 IIS6.0
详细描述
把上传文件名改成X.asp;.jpg
直接IE访问就解析成ASP，也就是说把asp shell改成X.asp;.jpg在Microsoft Windows Server 2003 IIS6.0的环境下会自动解析为asp。
测试代码
一隐藏shell 把shell的后缀改为.asp;.jpg欺骗管理员已达到隐藏shell的目的 upload/。
二上传拿shell 只限制于上传后文件名保持不改变的网站。
三 X.aspx;.jpg X.php;.jpg。
解决方案
...
by x2xnet

使用道具举报

返回列表发新帖

[漏洞分析] 最新win2003 II6解析漏洞实战及应用

浏览过的版块