IIS写权限漏洞-菜刀工具

栏目: ASP.NET · 发布时间: 1年前

来源: www.secpulse.com

内容简介:IIS写权限漏洞,说白了就是菜鸟管理员对IIS的错误配置问题:WEB服务器扩展里设置WebDAV为允许;网站权限配置开启了写入权限与脚本资源访问权限。

本文转载自:https://www.secpulse.com/archives/94119.html,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有。

IIS写权限漏洞,说白了就是菜鸟管理员对IIS的错误配置问题:

WEB服务器扩展里设置WebDAV为允许;

网站权限配置开启了写入权限与脚本资源访问权限。

先在Windows server2003中搭建好实验环境。

WEB服务器扩展里设置WebDAV和Active Server Pages为允许;

网站主目录权限配置开启写入权限与脚本资源访问权限;

TCP端口为80;

主目录属性-安全中来宾用户的权限为完全控制。

使用桂林老兵的IISwriter

IIS写权限漏洞-菜刀工具

然后提交数据包,会在服务端生成一个test.txt的文件

IIS写权限漏洞-菜刀工具

但是这个问津不能被IIS解析,所以要用move,主要目的是为了将txt的文件修改为asp,从而变成可执行的脚本文件。

IIS写权限漏洞-菜刀工具

看一下,确实存在shell.asp文件

IIS写权限漏洞-菜刀工具

用菜刀链接

IIS写权限漏洞-菜刀工具

菜刀成功链接

IIS写权限漏洞-菜刀工具

成功拿到shell!

错误集锦

  • 无法上传txt文件

IIS写权限漏洞-菜刀工具 原因:没有写入权限

IIS写权限漏洞-菜刀工具 原因:TCP端口不是80

IIS写权限漏洞-菜刀工具 原因:WEB服务器扩展里没有设置WebDAV为允许

  • 无法更改txt文件为asp文件

IIS写权限漏洞-菜刀工具

  • 菜刀出现故障

IIS写权限漏洞-菜刀工具 原因:WEB服务器扩展里没有设置Active Server Pages为允许


以上所述就是小编给大家介绍的《IIS写权限漏洞-菜刀工具》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

关注码农网公众号

关注我们,获取更多IT资讯^_^


为你推荐:

相关软件推荐:

查看所有标签

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Web应用漏洞侦测与防御

Web应用漏洞侦测与防御

Mike Shema / 齐宁、庞建民、张铮、单征 / 机械工业出版社 / 2014-8-20 / 69.00

本书由国际知名网络安全专家亲笔撰写,全面讲解如何预防常见的网络攻击,包括HTML注入及跨站脚本攻击、跨站请求伪造攻击、SQL注入攻击及数据存储操纵、攻破身份认证模式、利用设计缺陷、利用平台弱点、攻击浏览器和隐私等, 全书共8章:第1章介绍HTML5的新增特性及使用和滥用HTML5的安全考虑;第2章展示了如何只通过浏览器和最基本的HTML知识就可以利用Web中最常见的漏洞;第3章详细讲解CSR......一起来看看 《Web应用漏洞侦测与防御》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具