中国网络渗透测试联盟

标题: 网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时 [打印本页]

作者: admin    时间: 2012-9-5 15:01
标题: 网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
    方法:上传一个 shtm 文件,内容如下:2 o% i+ ^% T& S

- H1 y5 Y* q( P1 g1 O; W& O当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
8 K9 D7 V+ p( |<!--#includ file="conn.asp"-->
! j! O; _' h" L$ S' \
- j, _0 I$ L9 w% X; I! ~当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时% t+ [9 V8 _4 j6 ~  g$ ~
    conn.asp 就一览无遗,直接请求这个 shtm 文件,数据库路径也就到手啦!# V2 t& R1 B+ k' i7 p

) w" M% |, G# r+ N当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
1 ^+ p" X: w3 w# z6 @, ]& @; c    解析:
+ }3 D# i" }/ F: B0 `' N+ Y/ ~. t5 Q
5 k& ~2 |. k4 D7 C7 _* a当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时# F/ K. M$ ]/ a, N+ h
<!--#includ file="conn.asp"-->
/ d" F  v* q% |, i4 k
" r9 R' t* p4 a( K- ~当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
+ v) K0 U" [& y, F+ @5 C    其作用是将 "conn.asp" 内容拷贝到当前的页面中,就是一条 SSI 指令。当访问者来浏览时,会看到其像 HTML 文档一样显示 conn.asp 其中的内容。/ t! x4 \1 \! @) _7 b/ F' Z$ e6 s

8 ~, A  Z3 L" [/ X当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
- x1 `; t6 c  ]0 }8 O) l    前提:服务器的对 shtm 或者 shtml 扩展没有删除!要组件支持才行,几率很小。在 03 系统 IIS 6.0 是默认关闭 SSI 服务的,碰到 BT 的 ewebeditor 时可以试试。
6 v0 V& Y2 E  ~( t$ w+ T. E8 e1 H; ^
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时8 m. s# F" O: B& q2 ?/ F
    比方 config.inc.php、config.aspx 等一些数据配置文件,至于 conn.asp 可以为其他。
  u6 o1 l, ]* [+ S. i4 ^6 M( k5 ^0 z  N/ o# g1 @1 V. J





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2