WEB攻防-ASP安全&MDB下载植入&IIS短文件名&写权限&解析

知识点:

1、ASP环境搭建组合;

2、ASP-数据库下载&植入;

3、IIS-短文件&解析&写权限;

WEB安全攻防

1、web源码;

2、开发语言;

3、中间件平台;

4、数据库类型;

5、第三方插件或软件;

大部分漏洞集中于前2中情况;

演示案例:

ASP-数据库-MDB默认下载

ASP-数据库-ASP后门植入连接

ASP-中间件-IIS短文件名探针-安全漏洞

ASP-中间件-IIS文件上传解析-安全漏洞

ASP-中间件-IIS配置目录读写-安全配置

1、MDB默认下载

安装windows server 2003,启动iis


后缀名在这里设置了就可以按照设置解析,如果没有设置则会下载

可以通过扫描得到数据库文件路径,或者如果有网站源码,可以根据默认配置(目标服务器没有该配置的情况下)

2、ASP后门植入连接

中间步骤参考上面

它的默认数据库为data.asp文件

拿下来之后修改为data.mdb后缀,然后再打开就可以了

通过留言写入后门,在通过菜刀访问.asp时,就会执行后门

3、IIS短文件名探针-安全漏洞

这个漏洞可以扫描到网站目录结构

缺陷是只能扫描到文件名的前6位

4、IIS文件上传解析

通过上传a.asp;.jpg命名的文件,实现上传后门

5、

扫描网站是否有写入漏洞

扫描到之后,用下面的工具(不支持win10)把木马文件put到服务器,上传后修改文件名为可解析文件

webdev配置

相关推荐
hepherd8 分钟前
Flask学习笔记 - 模板渲染
前端·flask
LaoZhangAI8 分钟前
【2025最新】Manus邀请码免费获取完全指南:5种稳定渠道+3个隐藏方法
前端
经常见9 分钟前
浅拷贝与深拷贝
前端
前端飞天猪14 分钟前
学习笔记:三行命令,免费申请https加密证书📃
前端
关二哥拉二胡16 分钟前
前端的 AI 应用开发系列二:手把手揭秘 RAG
前端·面试
斯~内克17 分钟前
前端图片加载性能优化全攻略:并发限制、预加载、懒加载与错误恢复策略
前端·性能优化
360安全应急响应中心18 分钟前
基于 RAG 提升大模型安全运营效率
安全·aigc
EasyNVR21 分钟前
国标GB28181视频监控平台EasyCVR保驾护航休闲娱乐“九小场所”安全运营
网络·安全
奇怪的知识又增长了26 分钟前
Command SwiftCompile failed with a nonzero exit code Command SwiftGeneratePch em
前端
Maofu26 分钟前
从React项目 迁移到 Solid项目的踩坑记录
前端