IIS6.0写权限漏洞是网站配置不当所形成的web
当咱们开启网站webDAV和网站写权限时就会形成漏洞工具
利用工具测试测试
成功上传网站
当咱们上传.asp后缀时,可能没法上传,这时能够利用MOVE和IIS6.0的解析漏洞。3d
IIS解析漏洞1(文件解析):
在网站下创建文件夹的名字为 *.asp、*.asa 的文件夹,其目录内的任何扩展名的文件都被 IIS 看成 asp 文件来解析并执行。例如建立目录 vidun.asp,那么 /666.asp/1.jpg 将被看成 asp 文件来执行。
IIS解析漏洞2(目录解析):blog
网站上传图片的时候,将网页木马文件的名字改为“*.asp;.jpg”,分号后面的不被解析也一样会被 IIS 看成 asp 文件来解析并执行。例如上传一个图片文件,名字叫“vidun.asp;.jpg”的木马文件,该文件能够被看成 asp 文件解析并执行。图片
使用菜刀成功链接class